Cette page présente les fonctionnalités de Google Cloud NetApp Volumes.
Stockage en réseau
NetApp Volumes partage des systèmes de fichiers, ou volumes, avec les clients NAS (Network-Attached Storage). Les clients NAS sont généralement des machines virtuelles (VM) exécutées sur des systèmes d'exploitation Windows ou Linux à l'aide des protocoles NFS (Network File System) et SMB (Server Message Block) standards du secteur.
Modèle client-serveur
NFS et SMB utilisent un modèle client-serveur dans lequel un client envoie des requêtes à un serveur pour agir sur le système de fichiers. Le serveur effectue des opérations telles que la création ou la suppression de fichiers ou de dossiers, la modification de fichiers, ainsi que la navigation et la lecture de fichiers.
Les systèmes de fichiers sont intégrés à des volumes pouvant être partagés par de nombreux clients. En règle générale, les systèmes d'exploitation Windows, Linux et UNIX incluent des logiciels clients SMB et NFS intégrés.
Droits d'accès
Tous les objets du système de fichiers doivent avoir un propriétaire, mais vous pouvez accorder des autorisations d'accès à d'autres utilisateurs et groupes pour les objets.
Pour NFS, la propriété spécifie les ID utilisateur et les ID de groupe, qui utilisent des autorisations utilisateur et de groupe de type UNIX standard. NFSv4.1 peut utiliser des ID utilisateur et des ID de groupe ou des principaux de sécurité. Lorsque vous utilisez NFSv4.1 avec Kerberos, l'utilisation des principaux Kerberos remplace l'accès par ID utilisateur, qui authentifie les identités des utilisateurs. En plus des autorisations UNIX standards, NFSv4.1 propose également des listes de contrôle d'accès NFSv4.1 comme méthode alternative de gestion des accès.
Pour SMB, les identifiants de sécurité Windows spécifient la propriété et utilisent des listes de contrôle d'accès de type NTFS pour gérer l'accès aux objets.
Pools de stockage
Les pools de stockage servent de conteneurs pour les volumes. Tous les volumes d'un pool de stockage partagent les informations suivantes:
Emplacement
Niveau de service
Réseau cloud privé virtuel (VPC)
Stratégie Active Directory
Utilisation de LDAP pour les volumes NFS, le cas échéant
Règle concernant les clés de chiffrement gérées par le client (CMEK)
Disponibilité du pool zonal ou régional
La capacité du pool peut être divisée et attribuée aux volumes du pool. Les pools de stockage sont un composant facturable de NetApp Volumes. La facturation est basée sur l'emplacement, le niveau de service et la capacité alloués à un pool, indépendamment de la consommation au niveau du volume.
Pools de stockage avec le niveau de service Flex
Les pools de stockage Flex offrent deux options de disponibilité:
Pools zonaux: les pools zonaux offrent une disponibilité dans une seule zone. Toutefois, si l'ensemble de la zone est indisponible, les volumes du pool zonal deviennent inaccessibles.
Pools régionaux: les pools régionaux assurent la disponibilité sur deux zones d'une même région. Les volumes sont répliqués de manière synchrone entre la zone principale et la zone de réplication pour garantir l'accès à vos données en cas d'indisponibilité de la zone principale. Le basculement vers la zone de l'instance répliquée est automatique en cas de défaillance d'une zone. Vous pouvez effectuer un changement de zone manuel pour le basculement ou l'équilibrage de charge.
Pour en savoir plus sur la disponibilité de NetApp Volumes, consultez le Contrat de niveau de service (SLA) Google Cloud NetApp Volumes.
Volumes
Un volume est un conteneur de système de fichiers dans un pool de stockage qui stocke des données d'application, de base de données et d'utilisateur.
Vous pouvez créer la capacité d'un volume à l'aide de la capacité disponible dans le pool de stockage, et vous pouvez définir et redimensionner la capacité sans perturber les processus.
Les paramètres du pool de stockage s'appliquent automatiquement aux volumes qu'il contient.
Instantanés et gestion des données basée sur des instantanés
NetApp Volumes vous aide à gérer votre utilisation des données à l'aide des fonctionnalités d'instantané. Vous pouvez ainsi prendre des instantanés de vos données en quelques secondes sans avoir besoin d'espace de stockage supplémentaire.
Les instantanés NetApp Volumes ne sont pas une copie physique distincte de vos données. Au lieu de cela, les instantanés des volumes NetApp ne capturent que les données qui ont été modifiées depuis le dernier instantané. Notez que lorsque vous écrasez toutes vos données, les instantanés peuvent consommer une capacité de volume importante.
Réplication de volume
Vous pouvez protéger vos données grâce à la réplication de volume multi-emplacements, qui réplique de manière asynchrone un volume source à un emplacement vers un volume de destination situé à un autre emplacement. Cette fonctionnalité vous permet d'utiliser l'autre volume pour l'activité critique de l'application en cas d'indisponibilité ou de catastrophe à l'échelle de l'emplacement.
La réplication de volume ne déplace que les blocs de données utilisés lors du transfert initial. Lors des transferts incrémentiels suivants, seuls les blocs modifiés sont transférés. Les frais ne sont facturés que pour les octets transférés, ce qui optimise les délais de transfert et réduit les coûts.
Sauvegardes
Une sauvegarde est une copie d'un volume stockée indépendamment de celui-ci dans un coffre de sauvegarde. Si un volume est indisponible ou supprimé, vous pouvez utiliser des sauvegardes pour restaurer vos données sur un nouveau volume. NetApp Volumes est compatible avec les sauvegardes manuelles et planifiées des volumes dans la région.
La première sauvegarde d'un volume contient toutes les données du volume. Les sauvegardes suivantes ne capturent que les modifications incrémentielles, ce qui permet des sauvegardes incrémentielles rapides et réduit la capacité requise dans le coffre-fort de sauvegarde.
Intégration Active Directory
Les protocoles de partage de fichiers tels que SMB (CIFS), NFSv3 avec des groupes étendus et NFSv4.1 reposent sur des services d'annuaire externes pour fournir des informations d'identité utilisateur à l'aide de principes de sécurité. NetApp Volumes s'appuie sur Active Directory pour les services d'annuaire. Active Directory fournit des services tels que des serveurs LDAP pour rechercher les objets suivants:
Utilisateurs
Groupes
Comptes de machine
Serveurs DNS (pour la résolution de noms d'hôte)
Serveurs Kerberos (à des fins d'authentification)
Chiffrement des données
NetApp Volumes chiffre toujours vos données au repos à l'aide de clés spécifiques au volume.
Avec les clés de chiffrement gérées par le client (CMEK), les clés spécifiques au volume sont encapsulées à l'aide de vos clés stockées dans Cloud Key Management Service. Cette fonctionnalité vous offre un meilleur contrôle sur les clés de chiffrement que vous utilisez et ajoute une couche de sécurité supplémentaire en stockant les clés sur un système ou dans un emplacement différent des données. NetApp Volumes est compatible avec les fonctionnalités de Cloud Key Management Service, telles que les modules de sécurité matérielle, la gestion des clés de chiffrement et le cycle de vie complet de la gestion des clés (génération, utilisation, rotation et destruction).
Sélection automatique du niveau
Le niveau automatique est disponible en disponibilité générale (DG) sur la liste d'autorisation. Pour demander l'accès à l'échelonnement automatique, contactez le service commercial.
Le niveau automatique réduit le coût global de l'utilisation des volumes. Les utilisateurs qui disposent de grandes quantités de données inactives peuvent réduire leurs coûts de stockage globaux grâce à l'échelonnement automatique. Les données qui ne sont jamais ou très rarement utilisées après avoir été écrites sur le volume sont appelées données froides. La sélection automatique de niveau peut être activée au niveau du volume. Une fois l'échelonnement automatique activé pour un volume, NetApp Volumes identifie les données peu utilisées et déplace de manière transparente les données froides du niveau chaud principal vers un niveau froid moins cher, mais plus lent. Vos données actives restent sur votre niveau chaud. L'échelonnement automatique ne peut être activé que pour les volumes des niveaux de service Premium ou Extrême.
En tant qu'utilisateur, vous créez un volume de la taille appropriée pour stocker toutes vos données. Que les données se trouvent sur le niveau de données actives ou sur le niveau de données inactives, elles sont gérées automatiquement par le volume et sont transparentes pour une application ou un utilisateur qui accède au volume à l'aide de NFS ou de SMB. Vous pouvez toujours consulter l'ensemble des données. Toutefois, il peut y avoir une différence de performances entre la lecture de données à partir du niveau chaud et la lecture de données à partir du niveau froid. Les données du niveau chaud affichent les mêmes performances qu'un volume non hiérarchisé. Les données du niveau froid présentent des latences de lecture plus élevées et des performances de lecture réduites.
NetApp Volumes détermine si les données inactives doivent être déplacées vers le niveau d'accès actif en fonction du modèle d'accès. La lecture des données froides avec des lectures séquentielles, telles que celles associées à la copie de données, aux sauvegardes basées sur des fichiers, à l'indexation et aux analyses antivirus, laisse les données sur le niveau de données froides. La lecture des données froides avec des lectures aléatoires les déplace vers le niveau chaud. Ces données restent dans le niveau chaud jusqu'à ce qu'elles se refroidissent à nouveau.
Notez que la lecture régulière des données du niveau chaud de manière non séquentielle peut empêcher les données de devenir froides, ce qui peut affecter les analyses antivirus complètes ou les sauvegardes complètes basées sur des fichiers, en fonction de leur schéma d'accès aux données.
Accès LDAP Active Directory
Les cas d'utilisation NFS utilisent Active Directory comme serveur LDAP. NetApp Volumes s'attend à des données d'identité utilisant un schéma RFC2307bis. Active Directory fournit déjà ce schéma, mais vous devez vous assurer de renseigner les attributs requis pour vos utilisateurs et groupes.
NetApp Volumes interagit avec LDAP en interrogeant les attributs suivants:
Noms d'utilisateur
Utilisateurs UNIX numériques (ID utilisateur)
Groupes
Adhésions aux groupes pour les opérations du protocole NFS
Lorsque vous utilisez LDAP pour des opérations telles que la recherche de nom et la récupération de groupes étendus, le processus suivant se produit:
NetApp Volumes utilise la configuration du client LDAP pour se connecter à un serveur LDAP de contrôleur de domaine. Le serveur LDAP est détecté à l'aide de la règle Active Directory du pool de stockage.
Si la connexion TCP au port de service LDAP aboutit, le client LDAP NetApp Volumes tente de se connecter au serveur LDAP des contrôleurs de domaine à l'aide des identifiants définis dans la stratégie Active Directory.
NetApp Volumes utilise la signature LDAP si nécessaire. La signature LDAP nécessite un enregistrement DNS PTR correct pour le serveur LDAP.
Une fois l'authentification réussie entre le client LDAP NetApp Volumes et le serveur LDAP du contrôleur de domaine, le client LDAP NetApp Volumes utilise le schéma LDAP RFC 2307bis pour interroger le serveur LDAP. Les informations suivantes sont transmises au serveur dans la requête:
Nom de domaine au format
Baseouuser DNType de portée de recherche (sous-arborescence)
Classe d'objet (user, posixAccount pour les utilisateurs et posixGroup pour les groupes)
UID ou nom d'utilisateur
Attributs demandés (uid, uidNumber, gidNumber pour les utilisateurs ou gidNumber pour les groupes)
Si l'utilisateur ou le groupe est introuvable, la requête échoue et l'accès est refusé.
Si la requête aboutit, les attributs utilisateur et de groupe sont mis en cache pour une utilisation ultérieure. La recherche de nom et la récupération des groupes étendus améliorent les performances des requêtes LDAP ultérieures associées aux attributs utilisateur ou de groupe mis en cache, et réduisent également la charge sur le serveur LDAP.
Mise en cache des attributs
NetApp Volumes met en cache les résultats des requêtes LDAP. Le tableau suivant décrit les paramètres de durée de vie (TTL) du cache LDAP. Si le cache contient des données non valides en raison de configurations incorrectes que vous souhaitez corriger, vous devez attendre que le cache soit actualisé pour que vos modifications dans Active Directory soient détectées. Sinon, le serveur NFS continue d'utiliser les anciennes données pour valider l'accès, ce qui peut entraîner des notifications d'autorisation refusée sur le client. Une fois la période de TTL écoulée, les entrées sont supprimées afin que les entrées obsolètes ne restent pas en mémoire. Les requêtes de recherche manquantes sont conservées pendant une minute pour éviter les problèmes de performances.
| Cache | Délai avant expiration par défaut |
|---|---|
| Liste des membres du groupe | Valeur TTL de 24 heures |
| Groupes UNIX (ID utilisateur du groupe) | Durée de conservation de 24 heures, durée de conservation négative de 2 heures |
| Utilisateurs UNIX (ID utilisateur) | Durée de conservation de 24 heures, durée de conservation négative de 2 heures |
Étape suivante
Découvrez les considérations de résilience des applications pour NetApp Volumes.