Informazioni sui protocolli del file system supportati

Filestore supporta i seguenti protocolli del file system:

NFSv3

  • Disponibile in tutti i livelli di servizio.
  • Supporta la comunicazione bidirezionale tra il client e il server.
    • Utilizza più porte.
    • Crea un canale di trust per il traffico e le operazioni di rete.
  • Offre una configurazione rapida per l'accesso POSIX standard.

NFSv4.1

  • Disponibile nei livelli di servizio zonale, regionale ed enterprise.
  • Supportato dal driver CSI Filestore per creare istanze di zona o aziendali e montarle con la semantica NFSv4.1.
  • Compatibile con le moderne configurazioni firewall e supporta i requisiti di conformità della sicurezza di rete.
    • La comunicazione viene sempre avviata dal client e sempre gestita tramite una singola porta del server, 2049.
    • Supporta l'autenticazione client e server.

Ogni protocollo è più adatto a casi d'uso specifici. La tabella seguente mette a confronto le specifiche di ciascun protocollo:

Specifica NFSv3 NFSv4.1
Livelli di servizio supportati Tutti i livelli di servizio A livello di zona, di regione e aziendale
Comunicazione bidirezionale No. La comunicazione viene sempre avviata dal client utilizzando la porta del server 2049.
Autenticazione No Sì. Richiede l'autenticazione RPCSEC_GSS, implementata utilizzando LDAP e Kerberos, entrambi disponibili in Managed Service for Microsoft Active Directory.
Supporta gli elenchi di controllo dell'accesso (ACL) di file o directory No Sì. Supporta fino a 50 voci di controllo dell'accesso (ACE) per elenco.
Supporto di Gruppi Fino a 16 gruppi Supporto di gruppi illimitati quando è connesso a Microsoft AD gestito.
Impostazione di sicurezza sys. Crea un canale di attendibilità. sys. Crea un canale di attendibilità. krb5. Autentica il client e il server. krb5i. Fornisce controlli di autenticazione e integrità dei messaggi.krb5p. Fornisce autenticazione, controlli di integrità dei messaggi e crittografia dei dati in transito.
Latenza operazioni Nessuno La latenza delle operazioni aumenta con il livello di sicurezza selezionato.
Tipo di recupero Stateless Stateful
Tipo di blocco file Network Lock Manager (NLM). Il blocco è controllato dal client. Blocco dei consigli basato sul lease. Il blocco è controllato dal server.
Supporta gli errori del client No
Supporta l'accesso privato ai servizi
Supporta Private Service Connect (Assistente Google incluso nella lista consentita) No

Vantaggi di NFSv3

Il protocollo NFSv3 offre una configurazione rapida per l'accesso POSIX standard.

Limitazioni di NFSv3

Di seguito è riportato un elenco delle limitazioni di NFSv3:

  • Non dispone di autenticazione e crittografia client e server.
  • Manca la gestione degli errori del client.

Vantaggi di NFSv4.1

Il protocollo NFSv4.1 utilizza il metodo RPCSEC_GSS Authentication, implementato utilizzando LDAP e Kerberos per fornire l'autenticazione di client e server, i controlli di integrità dei messaggi e la crittografia dei dati in transito.

Queste funzionalità di sicurezza rendono il protocollo NFSv4.1 compatibile con i moderni requisiti di conformità della sicurezza di rete:

  • Utilizza una singola porta del server, 2049, per tutte le comunicazioni, semplificando le configurazioni del firewall.

  • Supporta gli elenchi di controllo dell'accesso (ACL) ai file NFSv4.1.

    • Ogni ACL supporta fino a 50 voci di controllo dell'accesso (ACE) per file o directory. Sono inclusi i documenti di successione.

  • Supporto di gruppi illimitati quando utilizzi l'integrazione di Microsoft Active Directory gestito.

  • Supporta una migliore gestione degli errori del client con il blocco consultivo basato sul lease.

    • Il client deve verificare la connessione continua con il server. Se il client non rinnova il lease, il server rilascia il blocco e il file diventa disponibile per qualsiasi altro client che richieda l'accesso tramite un lease di blocco. In NFSv3, se un client viene eliminato mentre è bloccato, non è possibile accedere al file da un altro client, ad esempio un nuovo nodo GKE.

  • Supporta il recupero stateful.

    • A differenza di NFSv3, NFSv4.1 è un protocollo stateful basato su TCP e connessione. Lo stato del client e del server nella sessione precedente può essere ripristinato dopo il recupero.

Managed Service for Microsoft Active Directory

Sebbene Managed Service for Microsoft Active Directory (Managed Microsoft AD) non sia un requisito rigoroso, è l'unica soluzione gestita da Google Cloud a supportare sia LDAP che Kerberos, entrambi requisiti per il protocollo NFSv4.1 di Filestore.

Gli amministratori sono vivamente invitati a utilizzare Managed Service for Microsoft Active Directory (Managed Microsoft AD) per implementare e gestire LDAP e Kerberos.

In quanto soluzione gestita da Google Cloud, Managed Microsoft AD offre i seguenti vantaggi:

  • Offre il deployment multiregionale, supportando fino a cinque regioni nello stesso dominio.

    • Riduce la latenza assicurandosi che gli utenti e i rispettivi server di accesso si trovino più vicini.

  • Supporta POSIX RFC 2307 e RFC 2307bis, requisiti per l'implementazione di NFSv4.1.

  • Automatizza il mapping dell'identificatore unico (UID) e dell'identificatore univoco globale (GUID) dell'utente.

  • Gli utenti e i gruppi possono essere creati o migrati in Managed Microsoft AD.

  • Gli amministratori possono creare un trust di dominio con il dominio Active Directory (AD) e LDAP on-premise autogestito corrente. Con questa opzione, la migrazione non è necessaria.

  • Fornisce uno SLA.

Controllo dell'accesso e comportamenti aggiuntivi

  • Gli ACE NFSv4.1 di Filestore vengono gestiti su Linux utilizzando i seguenti comandi:

    • nfs4_setfacl: crea o modifica le voci di controllo degli accessi su un file o una directory.
    • nfs4_getfacl: elenca le voci ACE in un file o una directory.

  • Ogni ACL supporta fino a 50 ACE. Sei voci sono riservate alle ACE generate automaticamente create dalle operazioni del cliente chmod. Queste voci ACE possono essere modificate dopo la creazione.

    I record ACE generati automaticamente che rappresentano i bit di modalità sono elencati nel seguente ordine di priorità:

    • DENY and ALLOW ACEs per OWNER@
    • DENY and ALLOW ACEs per GROUP@

    • DENY and ALLOW ACEs per EVERYONE@

      Se queste ACE sono già presenti, verranno riutilizzate e modificate in base ai nuovi bit di modalità applicati.

  • Filestore NFSv4.1 supporta il controllo dell'accesso richiesto solo in modalità POSIX RWX (lettura, scrittura ed esecuzione). Non verrà fatta distinzione tra le operazioni write append e write che modificano i contenuti o la specifica SETATTR. L'utilità nfs4_setfacl accetta anche RWX come scorciatoia e attiva automaticamente tutti i flag appropriati.

  • nfs4_getfacl non esegue alcuna traduzione dell'entità autonomamente. L'utilità nfs4_getfacl mostrerà UID e GUID numerici per i soggetti. Di conseguenza, verranno mostrate le entità speciali di OWNER@, GROUP@ e EVERYONE@.

  • Indipendentemente dall'utilizzo di Managed Microsoft AD, quando si lavora con AUTH-SYS e l'utilità nfs4_setfacl, gli amministratori devono specificare UID e GUID numerici, non i nomi utente. Questa utilità non è in grado di tradurre i nomi in questi valori. Se non viene fornito correttamente, l'istanza Filestore utilizzerà per impostazione predefinita l'ID nobody.

  • Quando specifichi le autorizzazioni di scrittura per un file o anche per i file interessati da un ACE ereditato, l'ACE deve includere sia i flag w (scrittura) sia a (aggiunta).

  • Quando controlli le autorizzazioni per SETATTR, la risposta restituita è simile a POSIX nel seguente modo:

    • Il superuser o l'utente ROOT può fare qualsiasi cosa.
    • Solo il proprietario del file può impostare i bit di modalità, gli ACL e i timestamp su un'ora e un gruppo specifici, ad esempio uno dei GUID a cui appartiene.
    • Gli utenti diversi dal proprietario del file possono visualizzare gli attributi, inclusa la ACL.

  • Una singola ACE comprende sia le autorizzazioni effettive sia quelle di sola ereditarietà. A differenza di altre implementazioni NFSv4.1, Filestore non replicherà automaticamente le ACE ereditate allo scopo di distinguere tra ACE effettive e ACE solo ereditate.

Limitazioni di NFSv4.1

Di seguito è riportato un elenco delle limitazioni di NFSv4.1:

  • Il protocollo NFSv4.1 non può essere combinato con le condivisioni multiple Filestore per GKE.

  • Il protocollo NFSv4.1 non supporta AUDIT and ALARM ACEs. Filestore non supporta il controllo dell'accesso ai dati.

  • Una volta configurati, non eliminare Managed Microsoft AD e il peering di rete. In questo modo, la condivisione Filestore diventa inaccessibile durante il montaggio su un client, rendendo i dati inaccessibili. Google Cloud non è responsabile delle interruzioni causate da azioni di amministratori o utenti.

  • Quando si utilizzano le impostazioni di sicurezza Kerberos autenticate, gli utenti possono aspettarsi una certa latenza delle operazioni. I tassi di latenza variano in base al livello di servizio e all'impostazione di sicurezza specificata. La latenza aumenta con ogni livello di sicurezza crescente.

  • Il controllo dell'accesso ai dati non è supportato.

  • La soluzione NFSv4.1 di Filestore utilizza l'autenticazione RPCSEC_GSS, implementata utilizzando LDAP e Kerberos, entrambi disponibili in Managed Microsoft AD. Filestore NFSv4.1 può essere utilizzato anche senza meccanismi di autenticazione, in modo simile a NFSv3. Altri meccanismi di autenticazione non sono supportati.

  • Se vuoi che un'istanza Filestore si unisca a Managed Microsoft AD tramite un VPC condiviso, devi utilizzare gcloud o l'API Filestore. Non puoi unire l'istanza a Managed Microsoft AD utilizzando la consoleGoogle Cloud .

  • Il nome di dominio Managed Microsoft AD non deve superare i 56 caratteri.

  • Per creare un'istanza enterprise, devi eseguire le operazioni direttamente tramite l'API Filestore. Per saperne di più, consulta Livelli di servizio.

  • Quando ripristini un backup, la nuova istanza deve utilizzare lo stesso protocollo dell'istanza di origine.

Passaggi successivi