Filestore mendukung protokol sistem file berikut:
NFSv3
- Tersedia di semua tingkat layanan.
- Mendukung komunikasi dua arah antara klien dan server.
- Menggunakan beberapa port.
- Membuat saluran tepercaya untuk traffic dan operasi jaringan.
- Menawarkan penyiapan cepat untuk akses POSIX standar.
NFSv4.1
- Tersedia di tingkatan layanan zonal, regional, dan perusahaan.
- Didukung oleh driver CSI Filestore untuk membuat instance zonal atau enterprise dan memasangnya dengan semantik NFSv4.1.
- Kompatibel dengan konfigurasi firewall modern dan mendukung persyaratan kepatuhan keamanan jaringan.
- Komunikasi selalu dimulai oleh klien dan selalu ditayangkan melalui
satu port server,
2049. - Mendukung autentikasi klien dan server.
- Memerlukan Autentikasi RPCSEC_GSS yang diimplementasikan menggunakan LDAP dan Kerberos, yang keduanya tersedia di Managed Service for Microsoft Active Directory.
- Mendukung LDAP dan Kerberos untuk autentikasi (
krb5), pemeriksaan integritas pesan (krb5i), dan enkripsi data saat transit (krb5p). - Menawarkan dukungan ACL file NFSv4.1 untuk klien dan server.
- Komunikasi selalu dimulai oleh klien dan selalu ditayangkan melalui
satu port server,
Setiap protokol paling cocok untuk kasus penggunaan tertentu. Tabel berikut membandingkan spesifikasi setiap protokol:
| Spesifikasi | NFSv3 | NFSv4.1 |
|---|---|---|
| Tingkat layanan yang didukung | Semua tingkat layanan | Zonal, regional, dan perusahaan |
| Komunikasi dua arah | Ya | Tidak. Komunikasi selalu dimulai oleh klien menggunakan port server 2049. |
| Autentikasi | Tidak | Ya. Memerlukan Autentikasi RPCSEC_GSS, yang diimplementasikan menggunakan LDAP dan Kerberos, yang keduanya tersedia di Managed Service for Microsoft Active Directory. |
| Mendukung Daftar Kontrol Akses (ACL) file atau direktori | Tidak | Ya. Mendukung hingga 50 Entri Kontrol Akses (ACE) per daftar. |
| Dukungan grup | Maksimal 16 grup | Dukungan grup tanpa batas saat terhubung ke Microsoft AD Terkelola. |
| Setelan keamanan | sys. Membuat channel tepercaya. |
sys. Membuat channel tepercaya. krb5. Mengautentikasi klien dan server. krb5i. Menyediakan pemeriksaan integritas pesan dan autentikasi.krb5p. Menyediakan otentikasi, pemeriksaan integritas pesan, dan enkripsi data dalam pengiriman. |
| Latensi operasi | Tidak ada | Latensi operasi meningkat seiring dengan tingkat keamanan yang dipilih. |
| Jenis pemulihan | Stateless | Stateful |
| Jenis penguncian file | Network Lock Manager (NLM). Kunci dikontrol oleh klien. | Penguncian saran berbasis sewa. Kunci dikontrol oleh server. |
| Mendukung kegagalan klien | Tidak | Ya |
| Mendukung akses layanan pribadi | Ya | Ya |
| Mendukung Private Service Connect (GA yang diizinkan) | Tidak | Ya |
Manfaat NFSv3
Protokol NFSv3 menawarkan penyiapan cepat untuk akses POSIX standar.
Batasan NFSv3
Berikut adalah daftar batasan NFSv3:
- Tidak memiliki enkripsi dan autentikasi klien dan server.
- Tidak memiliki penanganan kegagalan klien.
Manfaat NFSv4.1
Protokol NFSv4.1 menggunakan metode Autentikasi RPCSEC_GSS, yang diimplementasikan menggunakan LDAP dan Kerberos untuk menyediakan autentikasi klien dan server, pemeriksaan integritas pesan, serta enkripsi data dalam pengiriman.
Kemampuan keamanan ini membuat protokol NFSv4.1 kompatibel dengan persyaratan kepatuhan keamanan jaringan modern:
Menggunakan satu port server,
2049, untuk semua komunikasi, sehingga membantu menyederhanakan konfigurasi firewall.Mendukung daftar kontrol akses (ACL) file NFSv4.1.
- Setiap ACL mendukung hingga 50 entri kontrol akses (ACE) per file atau direktori. Hal ini mencakup catatan warisan.
Dukungan grup tanpa batas saat menggunakan integrasi Microsoft AD Terkelola.
Mendukung penanganan kegagalan klien yang lebih baik dengan penguncian saran berbasis sewa.
- Klien harus memverifikasi koneksi berkelanjutan dengan server. Jika klien tidak memperpanjang masa sewa, server akan melepaskan kunci dan file akan tersedia untuk klien lain yang meminta akses melalui masa sewa kunci. Di NFSv3, jika klien dihapus saat dalam status terkunci, file tidak dapat diakses oleh klien lain, seperti node GKE baru.
Mendukung pemulihan stateful.
- Tidak seperti NFSv3, NFSv4.1 adalah protokol stateful berbasis TCP dan koneksi. Status klien dan server dalam sesi sebelumnya dapat dilanjutkan setelah pemulihan.
Layanan Terkelola untuk Microsoft Active Directory
Meskipun Layanan Terkelola untuk Microsoft Active Directory (Microsoft AD Terkelola) bukan persyaratan yang ketat, layanan ini adalah satu-satunya solusi yang dikelola Google Clouduntuk mendukung LDAP dan Kerberos, yang keduanya merupakan persyaratan untuk protokol NFSv4.1 Filestore.
Administrator sangat dianjurkan untuk menggunakan Managed Service for Microsoft Active Directory (Managed Microsoft AD) untuk menerapkan dan mengelola LDAP dan Kerberos.
Sebagai solusi yang dikelola Google, Managed Microsoft AD memberikan manfaat berikut: Google Cloud
Menawarkan deployment multi-region, yang mendukung hingga lima region di domain yang sama.
- Mengurangi latensi dengan memastikan pengguna dan server login masing-masing berada di lokasi yang lebih berdekatan.
Mendukung POSIX RFC 2307 dan RFC 2307bis, persyaratan untuk penerapan NFSv4.1.
Mengotomatiskan pemetaan pengguna ID unik (UID) dan ID unik global (GUID).
Pengguna dan grup dapat dibuat di atau dimigrasikan ke Managed Microsoft AD.
Administrator dapat membuat kepercayaan domain dengan domain Active Directory (AD) dan LDAP lokal yang dikelola sendiri saat ini. Dengan opsi ini, migrasi tidak diperlukan.
Menyediakan SLA.
Kontrol akses dan perilaku tambahan
ACE NFSv4.1 Filestore dikelola di Linux menggunakan perintah berikut:
nfs4_setfacl: Membuat atau mengedit ACE pada file atau direktori.nfs4_getfacl: Mencantumkan ACE pada file atau direktori.
Setiap ACL mendukung hingga 50 ACE. Enam entri dicadangkan untuk ACE yang dibuat secara otomatis oleh operasi
chmodklien. ACE ini dapat diubah setelah dibuat.Catatan ACE yang dibuat otomatis yang merepresentasikan bit mode dicantumkan dalam urutan prioritas berikut:
DENY and ALLOW ACEsuntukOWNER@DENY and ALLOW ACEsuntukGROUP@DENY and ALLOW ACEsuntukEVERYONE@Jika ACE tersebut sudah ada, ACE tersebut akan digunakan kembali dan diubah sesuai dengan bit mode yang diterapkan baru.
NFSv4.1 Filestore mendukung pemeriksaan akses yang diperlukan hanya dalam mode POSIX
RWX(baca, tulis, dan jalankan). Operasiwrite appenddanwriteyang mengubah konten atau spesifikasiSETATTRtidak akan dibedakan. Utilitasnfs4_setfacljuga menerimaRWXsebagai pintasan dan secara otomatis mengaktifkan semua tanda yang sesuai.nfs4_getfacltidak menerjemahkan sendiri akun utama. Utilitasnfs4_getfaclakan menampilkanUIDdanGUIDnumerik untuk principal. Akibatnya, prinsipal khususOWNER@,GROUP@, danEVERYONE@akan ditampilkan.Terlepas dari apakah menggunakan Microsoft AD Terkelola atau tidak, saat bekerja dengan
AUTH-SYSdan utilitasnfs4_setfacl, administrator harus menentukanUIDdanGUIDnumerik, bukan nama pengguna. Utilitas ini tidak dapat menerjemahkan nama ke nilai ini. Jika tidak diberikan dengan benar, instance Filestore akan menggunakan IDnobodysecara default.Saat menentukan izin tulis untuk file, atau bahkan file yang terpengaruh oleh ACE yang diwariskan, ACE harus menyertakan flag
w(tulis) dana(tambahkan).Saat memeriksa izin untuk
SETATTR, respons yang ditampilkan mirip denganPOSIXdengan cara berikut:- Pengguna super atau pengguna
ROOTdapat melakukan apa pun. - Hanya pemilik file yang dapat menyetel bit mode, ACL, dan stempel waktu ke waktu dan grup tertentu, seperti salah satu dari
GUIDyang menjadi anggotanya. - Pengguna selain pemilik file dapat melihat atribut, termasuk ACL.
- Pengguna super atau pengguna
Satu ACE mencakup izin yang efektif dan hanya diwariskan. Berbeda dengan penerapan NFSv4.1 lainnya, Filestore tidak akan otomatis mereplikasi ACE yang diwarisi untuk tujuan membedakan antara ACE yang efektif dan ACE hanya diwarisi.
Batasan NFSv4.1
Berikut adalah daftar batasan NFSv4.1:
Protokol NFSv4.1 tidak dapat digabungkan dengan multishare Filestore untuk GKE.
Protokol NFSv4.1 tidak mendukung
AUDIT and ALARM ACEs. Filestore tidak mendukung audit akses data.Setelah dikonfigurasi, jangan hapus Managed Microsoft AD dan peering jaringan. Melakukannya akan menyebabkan berbagi Filestore tidak dapat diakses saat di-mount di klien, sehingga data Anda tidak dapat diakses. Google Cloud tidak bertanggung jawab atas gangguan yang disebabkan oleh tindakan administrator atau pengguna.
Saat menggunakan setelan keamanan Kerberos yang diautentikasi, pengguna dapat mengharapkan latensi beberapa operasi. Tingkat latensi bervariasi menurut tingkat layanan dan setelan keamanan yang ditentukan. Latensi meningkat dengan setiap peningkatan tingkat keamanan.
Audit akses data tidak didukung.
Solusi NFSv4.1 Filestore menggunakan Autentikasi RPCSEC_GSS, yang diimplementasikan menggunakan LDAP dan Kerberos, yang keduanya tersedia di Managed Microsoft AD. Filestore NFSv4.1 juga dapat digunakan tanpa mekanisme autentikasi apa pun, seperti NFSv3. Mekanisme autentikasi lainnya tidak didukung.
Jika ingin instance Filestore bergabung dengan Managed Microsoft AD melalui VPC Bersama, Anda harus menggunakan
gcloudatau Filestore API. Anda tidak dapat menggabungkan instance ke Managed Microsoft AD menggunakan konsolGoogle Cloud .Nama domain Managed Microsoft AD tidak boleh melebihi 56 karakter.
Untuk membuat instance Enterprise, Anda harus menjalankan operasi langsung melalui Filestore API. Untuk mengetahui informasi selengkapnya, lihat Tingkat layanan.
Saat memulihkan cadangan, instance baru harus menggunakan protokol yang sama dengan instance sumber.