Tentang protokol NFSv4.1

Panduan berikut menjelaskan protokol NFSv4.1.

Filestore menawarkan dukungan protokol NFSv4.1 untuk instance yang dibuat di tingkat layanan berikut:

  • Zonal
  • Regional
  • Enterprise

Kemampuan ini dapat diintegrasikan dengan Managed Service for Microsoft Active Directory (Managed Microsoft AD) untuk mendukung beban kerja yang memerlukan autentikasi klien dan server, pemeriksaan integritas data pesan, dan enkripsi data saat transit, yang sebelumnya tidak tersedia di Filestore.

Autentikasi didukung menggunakan LDAP dan Kerberos serta mencakup varian (setelan) keamanan berikut:

  • Autentikasi klien dan server (krb5).
  • Pemeriksaan integritas pesan (krb5i). Mencakup kemampuan setelan sebelumnya.
  • Enkripsi data dalam transit (krb5p). Mencakup kemampuan setelan sebelumnya.

Managed Microsoft AD adalah satu-satunya solusi Google Cloud terkelola sepenuhnya yang mendukung LDAP dan Kerberos, persyaratan untuk protokol NFSv4.1 serta manfaat keamanan dan privasinya. Meskipun integrasi dengan Managed Microsoft AD tidak diperlukan, sangat direkomendasikan untuk pengalaman pengguna yang optimal dalam mengelola akun pengguna serta grup dan izin yang berubah-ubah. Google Cloud

Haruskah Anda menggunakan NFSv4.1?

Banyak organisasi perusahaan mengandalkan sistem lama untuk operasi yang sangat penting bagi bisnis. Banyak sistem ini memerlukan autentikasi dan enkripsi saat transit untuk penyimpanan file jaringan mereka. NFSv3 tidak didesain dengan mempertimbangkan autentikasi. Integrasi protokol NFSv4.1 Filestore dengan Managed Microsoft AD kini memenuhi persyaratan pengguna penting ini.

Untuk mengetahui informasi selengkapnya tentang manfaat NFSv4.1, lihat Tentang protokol yang didukung.

Memahami daftar kontrol akses (ACL) berbasis jaringan di NFSv4.1.

Di NFSv3, hanya flavor keamanan sys yang didukung. Setelan ini memercayai pengguna uid dan gid yang diberikan oleh klien selama pemasangan.

Dalam protokol NFSv4.1 Filestore, beberapa jenis atau setelan keamanan ACL jaringan tersedia:

  • krb5

    Mengautentikasi klien menggunakan tiket Kerberos, yang divalidasi terhadap server Kerberos Managed Microsoft AD.

  • krb5i

    Mencakup autentikasi yang disediakan oleh krb5 dan juga menggunakan Kerberos untuk menjalankan pemeriksaan integritas pesan pada semua traffic jaringan ke dan dari instance.

  • krb5p

    Mencakup autentikasi yang disediakan oleh krb5 dan pemeriksaan integritas pesan krb5i serta menggunakan Kerberos untuk enkripsi data dalam pengiriman.

Jika Anda ingin memanfaatkan opsi ini, integrasi Layanan Terkelola untuk Microsoft Active Directory diperlukan. Untuk mengetahui informasi selengkapnya, lihat Membuat instance Filestore dengan Managed Microsoft AD.

Jika domain Managed Service for Microsoft Active Directory tidak ditentukan, hanya sysvarian keamanan yang didukung.

Untuk mengetahui informasi selengkapnya, lihat Batasan NFSv4.1.

Memasang instance Filestore NFSv4.1 pada klien Linux

Langkah-langkah berikut menunjukkan cara memasang instance di klien Linux.

  • Pasang dengan sec=sys untuk izin NFS standar:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=sys,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Pasang dengan sec=krb5 untuk autentikasi berbasis Kerberos:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Lakukan pemasangan dengan sec=krb5i untuk autentikasi berbasis Kerberos dan pemeriksaan integritas pesan:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5i,rw \ FILESTORE-INSTANCE-FQDN:/INSTANCE_SHARE_POINT /MOUNT_POINT

  • Lakukan pemasangan dengan sec=krb5p untuk autentikasi berbasis Kerberos, pemeriksaan integritas, dan enkripsi saat transit:

    sudo mount -vvvv -t nfs4 -o vers=4.1,sec=krb5p,rw \ FILESTORE-INSTANCE-FQ
DN:/INSTANCE_SHARE_POINT /MOUNT_POINT

    Ganti kode berikut:

    • FILESTORE-INSTANCE-FQDN adalah nama domain yang sepenuhnya memenuhi syarat tempat instance Filestore berada.
    • INSTANCE_SHARE_POINT adalah nama berbagi file dari instance Filestore yang ingin Anda hubungkan.
    • MOUNT_POINT adalah titik pemasangan atau nama direktori tempat Anda ingin melakukan pemasangan.

Konfigurasi klien Linux

Instance Filestore NFSv4.1 memungkinkan klien melakukan operasi NFS menggunakan berbagai varian keamanan. Konfigurasi rasa ini dilakukan oleh administrator instance melalui ACL jaringan pada instance Filestore NFSv4.1, selama pembuatan atau jika diperbarui setelah pembuatan.

Flavor keamanan sys menggunakan autentikasi Unix standar, sedangkan flavor krb5, krb5i, dan krb5p menggunakan autentikasi berbasis Kerberos.

Flavor krb5, krb5i, dan krb5p mengharuskan klien terhubung ke domain Managed Microsoft AD yang sama dengan instance Filestore. Selesaikan langkah-langkah berikut yang sesuai untuk lingkungan Anda.

Gambar Ubuntu

  1. SSH ke instance Compute Engine.

  2. Jalankan perintah berikut untuk bergabung ke domain Managed Microsoft AD.

    1. Jalankan perintah penyiapan berikut:

      sudo apt-get update \
sudo apt-get -y -qq install adcli realmd sssd sssd-tools packagekit krb5-user \ nfs-common expect retry

    2. Saat diminta untuk memasukkan realm, ganti entri yang ada dengan domain Managed Microsoft AD yang digunakan di instance Filestore. Masukkan nilai dalam huruf besar, lalu tekan tombol panah untuk memilih Oke, lalu tekan Enter.

    3. Saat diminta untuk memasukkan host, biarkan kosong dan lanjutkan.

    4. Selesaikan salah satu langkah berikut:

      • Untuk VM dengan panjang nama host yang kurang dari atau sama dengan 15 karakter, jalankan perintah berikut:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

        Ganti kode berikut:

        • JOIN_DOMAIN_USER adalah nama akun pengguna yang digunakan untuk bergabung dengan domain.
        • MANAGED_AD_DOMAIN_NAME adalah nama domain layanan Microsoft AD Terkelola yang ingin Anda gunakan.

      • Untuk VM dengan panjang nama host lebih dari 15 karakter, jalankan perintah berikut:

        sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

        Ganti kode berikut:

        • JOIN_DOMAIN_USER adalah nama akun pengguna yang digunakan untuk bergabung dengan domain.
        • MANAGED_AD_REALM_NAME adalah nama realm layanan Managed Microsoft AD yang ingin Anda gunakan.
        • MANAGED_AD_DOMAIN_NAME adalah nama domain layanan Microsoft AD Terkelola yang ingin Anda gunakan.

  3. Perbarui konfigurasi Kerberos. Perbarui /etc/krb5.conf dengan definisi realm dan pemetaan realm-domain yang diperlukan:

     [realms]
          DOMAIN_NAME = {
                   kdc = DOMAIN_NAME
                   default_domain = DOMAIN_NAME
          }
 [domain_realm]
          .domain_name_lowercase = DOMAIN_NAME
          domain_name_lowercase = DOMAIN_NAME

    Ganti kode berikut:

    • DOMAIN_NAME adalah nama domain yang ingin Anda gunakan, yang dimasukkan dalam huruf besar.
    • domain_name_lowercase adalah nama domain yang ingin Anda gunakan, dimasukkan dalam huruf kecil.

    Lihat contoh berikut:

    [realms]
       FILE.DEMO.LOCAL = {
                kdc = FILE.DEMO.LOCAL
                default_domain = FILE.DEMO.LOCAL
       }

[domain_realm]
       .file.demo.local = FILE.DEMO.LOCAL
       file.demo.local = FILE.DEMO.LOCAL

  4. Jalankan layanan rpc-gssd. Tambahkan nilai atribut No-Strip berikut ke bagian [General] di dalam /etc/idmapd.conf:

     [General]
 No-Strip = both

  5. Jalankan perintah berikut:

    sudo systemctl restart rpc-gssd

Gambar Centos

  1. Lakukan SSH ke instance Compute Engine.

  2. Gabungkan domain Microsoft AD Terkelola:

    sudo yum update \
sudo yum install -y adcli realmd sssd samba-common-tools krb5-workstation nfs-utils \ bind-utils openldap-clients

  3. Selesaikan salah satu langkah berikut:

    • Untuk VM dengan panjang nama host kurang dari atau sama dengan 15 karakter, jalankan perintah berikut:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no MANAGED_AD_DOMAIN_NAME

      Ganti kode berikut:

      • JOIN_DOMAIN_USER adalah nama akun pengguna yang digunakan untuk bergabung ke domain.
      • MANAGED_AD_DOMAIN_NAME adalah nama domain layanan Microsoft AD Terkelola yang ingin Anda gunakan.

    • Untuk VM dengan panjang nama host lebih dari 15 karakter, jalankan perintah berikut:

      sudo realm join -vU JOIN_DOMAIN_USER --automatic-id-mapping=no \ --user-principal=host/`hostname -f`@MANAGED_AD_REALM_NAME MANAGED_AD_DOMAIN_NAME

      Ganti kode berikut:

      • JOIN_DOMAIN_USER adalah nama akun pengguna yang digunakan untuk bergabung ke domain.
      • MANAGED_AD_REALM_NAME adalah nama realm layanan Managed Microsoft AD yang ingin Anda gunakan.
      • MANAGED_AD_DOMAIN_NAME adalah nama domain layanan Microsoft AD Terkelola yang ingin Anda gunakan.

  4. Pastikan layanan sssd berjalan:

    sudo systemctl status sssd

  5. Jalankan layanan rpc-gssd. Tambahkan kode berikut di bawah nilai atribut No-Strip ke bagian [General] di dalam /etc/idmapd.conf:

    [General]
No-Strip = both

  6. Jalankan perintah berikut. Perintah ini membantu memastikan klien NFS tidak akan menghapus nama domain dari nama host server NFS. Untuk mengetahui informasi selengkapnya, lihat NFS Ganesha List Archives dan Arch Linux Archive:

    sudo systemctl start rpc-gssd

Langkah berikutnya