Informazioni sui protocolli del file system supportati

Filestore supporta i seguenti protocolli del file system:

NFSv3

  • Disponibile in tutti i livelli di servizio.
  • Supporta la comunicazione bidirezionale tra il client e il server.
    • Utilizza più porte.
    • Crea un canale attendibile per il traffico e le operazioni di rete.
  • Offre una configurazione rapida per l'accesso POSIX standard.

NFSv4.1

  • Disponibile nei livelli di servizio a livello di zona, regionale e aziendale.
  • Compatibile con le configurazioni di firewall moderne e supporta i requisiti di conformità per la sicurezza di rete.
    • La comunicazione viene sempre avviata dal client e sempre inviata tramite una singola porta del server, 2049.
    • Supporta l'autenticazione del client e del server.

Ogni protocollo è più adatto a casi d'uso specifici. La tabella seguente mette a confronto le specifiche di ciascun protocollo:

Specifica NFSv3 NFSv4.1
Livelli di servizio supportati Tutti i livelli di servizio A livello di zona, di regione e aziendale
Comunicazione bidirezionale No. La comunicazione viene sempre avviata dal client utilizzando la porta del server 2049.
Autenticazione No Sì. Richiede l'autenticazione RPCSEC_GSS, implementata utilizzando LDAP e Kerberos, entrambi disponibili in Managed Service for Microsoft Active Directory.
Supporta gli elenchi di controllo dell'accesso (ACL) di file o directory No Sì. Supporta fino a 50 voci di controllo dell'accesso (ACE) per elenco.
Assistenza di Gruppi Fino a 16 gruppi Supporto di gruppi illimitati quando è collegata a Microsoft AD gestito.
Impostazione di sicurezza sys. Crea un canale attendibile. sys. Crea un canale attendibile. krb5. Autentica il client e il server. krb5i. Fornisce controlli di autenticazione e integrità dei messaggi.krb5p. Fornisce autenticazione, controlli di integrità dei messaggi e crittografia dei dati in transito.
Latenza delle operazioni Nessuno La latenza delle operazioni aumenta con il livello di sicurezza selezionato.
Tipo di recupero Stateless Stateful
Tipo di blocco dei file Network Lock Manager (NLM). La serratura è controllata dal cliente. Blocco di consulenza basato sul contratto di locazione. Il blocco è controllato dal server.
Supporta gli errori del client No
Supporta l'accesso privato ai servizi No No

Vantaggi di NFSv3

Il protocollo NFSv3 offre una configurazione rapida per l'accesso POSIX standard.

Limitazioni di NFSv3

Di seguito è riportato un elenco delle limitazioni di NFSv3:

  • Non è supportato l'accesso privato ai servizi.
  • Manca l'autenticazione e la crittografia del client e del server.
  • Manca la gestione degli errori del client.

Vantaggi di NFSv4.1

Il protocollo NFSv4.1 utilizza il metodo RPCSEC_GSS Authentication, implementato utilizzando LDAP e Kerberos per fornire autenticazione del client e del server, controlli di integrità dei messaggi e crittografia dei dati in transito.

Queste funzionalità di sicurezza rendono il protocollo NFSv4.1 compatibile con i moderni requisiti di conformità alla sicurezza di rete:

  • Utilizza una singola porta del server, 2049, per tutte le comunicazioni, contribuendo a semplificare le configurazioni del firewall.

  • Supporta gli elenchi di controllo dell'accesso (ACL) dei file NFSv4.1.

    • Ogni ACL supporta fino a 50 voci di controllo dell'accesso (ACE) per file o directory. Sono inclusi i record di eredità.

  • Supporto di gruppi illimitati quando si utilizza l'integrazione di Microsoft AD gestito.

  • Supporta una gestione migliore degli errori del client con il blocco degli avvisi basati su lease.

    • Il client deve verificare la connessione continua con il server. Se il client non rinnova il lease, il server rilascia il blocco e il file diventa disponibile per qualsiasi altro client che richiede l'accesso tramite un lease del blocco. In NFSv3, se un client viene eliminato mentre è bloccato, il file non può essere acceduto da un altro client, ad esempio un nuovo nodo GKE.

  • Supporta il recupero stateful.

    • A differenza di NFSv3, NFSv4.1 è un protocollo stateful basato su TCP e connessioni. Lo stato del client e del server nella sessione precedente può essere ripreso dopo il recupero.

Managed Service for Microsoft Active Directory

Anche se Managed Service for Microsoft Active Directory (Managed Microsoft AD) non è un requisito rigoroso, è l'unica soluzione gestita da Google Cloud che supporta sia LDAP sia Kerberos, entrambi requisiti per il protocollo NFSv4.1 di Filestore.

Gli amministratori sono vivamente invitati a utilizzare Managed Service for Microsoft Active Directory (Managed Microsoft AD) per implementare e gestire LDAP e Kerberos.

In qualità di soluzione gestita da Google Cloud, Managed Microsoft AD offre i seguenti vantaggi:

  • Offre il deployment multiregionale, supportando fino a cinque regioni nello stesso dominio.

    • Riduce la latenza garantendo che gli utenti e i rispettivi server di accesso siano più vicini.

  • Supporta POSIX RFC 2307 e RFC 2307bis, requisiti per l'implementazione di NFSv4.1.

  • Automatizza la mappatura degli utenti per identificatore univoco (UID) e identificatore univoco globale (GUID).

  • Gli utenti e i gruppi possono essere creati in Managed Microsoft AD o di cui è possibile eseguire la migrazione.

  • Gli amministratori possono creare una relazione di trust con il dominio Active Directory (AD) e LDAP on-premise autogestito esistente. Con questa opzione, la migrazione non è necessaria.

  • Fornisce uno SLA.

Controllo dell'accesso e comportamenti aggiuntivi

  • Le ACE NFSv4.1 di Filestore vengono gestite su Linux utilizzando i seguenti comandi:

    • nfs4_setfacl: crea o modifica i permessi ACE in un file o una directory.
    • nfs4_getfacl: elenca gli ACE in un file o una directory.

  • Ogni ACL supporta fino a 50 ACE. Sei voci sono riservate agli ACE generati automaticamente creati dalle operazioni chmod del cliente. Questi ACE possono essere modificati dopo la creazione.

    I record ACE generati automaticamente che rappresentano i bit di modalità sono elencati nel seguente ordine di priorità:

    • DENY and ALLOW ACEs per il OWNER@
    • DENY and ALLOW ACEs per il GROUP@

    • DENY and ALLOW ACEs per EVERYONE@

      Se questi ACE sono già presenti, verranno riutilizzati e modificati in base ai nuovi bit di modalità applicati.

  • Filestore NFSv4.1 supporta il controllo dell'accesso richiesto solo in modalità POSIX RWX (lettura, scrittura ed esecuzione). Non fa distinzione tra operazioni write append e write che modificano i contenuti o la specifica SETATTR. L'utilità nfs4_setfacl accetta anche RWX come scorciatoia e attiva automaticamente tutti i flag appropriati.

  • nfs4_getfacl non esegue alcuna traduzione dell'entità principale autonomamente. L'utilità nfs4_getfacl mostrerà i valori numerici UID e GUID per i principali. Di conseguenza, verranno visualizzati gli elementi speciali OWNER@, GROUP@ e EVERYONE@.

  • Indipendentemente dall'utilizzo di AD Microsoft gestito, quando si lavora con AUTH-SYS e l'utilità nfs4_setfacl, gli amministratori devono specificare UID e GUID numerici, non i nomi utente. Questa utility non è in grado di tradurre i nomi in questi valori. Se non viene fornito correttamente, l'istanza Filestore utilizzerà per impostazione predefinita l'ID nobody.

  • Quando specifichi le autorizzazioni di scrittura per un file o anche per i file interessati da un ACE ereditato, l'ACE deve includere sia i flag w (scrittura) sia a (accodamento).

  • Quando controlli le autorizzazioni per SETATTR, la risposta restituita è simile a POSIX nel seguente modo:

    • L'utente super user o ROOT può fare qualsiasi cosa.
    • Solo il proprietario del file può impostare i bit di modalità, i criteri ACL e i timestamp su un momento e un gruppo specifici, ad esempio uno dei GUID a cui appartiene.
    • Gli utenti diversi dal proprietario del file possono visualizzare gli attributi, inclusa l'ACL.

  • Un singolo ACE include sia le autorizzazioni effettive sia quelle di sola ereditarietà. Contrariamente ad altre implementazioni di NFSv4.1, Filestore non replicherà automaticamente gli ACE ereditati allo scopo di distinguere tra ACE efficaci e ACE solo per ereditarietà.

Limitazioni di NFSv4.1

Di seguito è riportato un elenco delle limitazioni di NFSv4.1:

  • Il protocollo NFSv4.1 non può essere combinato con le seguenti funzionalità:

  • Il protocollo NFSv4.1 non supporta AUDIT and ALARM ACEs. Filestore non supporta il controllo dell'accesso ai dati.

  • Una volta configurati, non eliminare il peering di rete e l'AD Microsoft gestito. In questo modo, la condivisione Filestore non sarà accessibile mentre è montata su un client, rendendo i tuoi dati inaccessibili. Google Cloud non è responsabile delle interruzioni causate da azioni di amministratori o utenti.

  • Quando utilizzi una delle impostazioni di sicurezza Kerberos autenticate, gli utenti possono aspettarsi una latenza di alcune operazioni. I tassi di latenza variano in base al livello di servizio e all'impostazione di sicurezza specificata. La latenza aumenta con ogni livello di sicurezza.

  • Il controllo dell'accesso ai dati non è supportato.

  • La soluzione Filestore NFSv4.1 richiede l'autenticazione RPCSEC_GSS. Questo metodo di autenticazione viene implementato solo utilizzando LDAP e Kerberos, entrambi disponibili in Microsoft AD gestito. Non sono supportati altri meccanismi di autenticazione.

  • Non è supportato l'accesso privato ai servizi.

  • Se vuoi che un'istanza Filestore si unisca ad AD di Microsoft gestito tramite una VPC condiviso, devi utilizzare gcloud o l'API Filestore. Non puoi unire l'istanza ad AD Microsoft gestito utilizzando la console Google Cloud.

  • Il nome di dominio di Microsoft AD gestito non deve superare i 56 caratteri.

  • Per creare un'istanza aziendale, devi eseguire le operazioni direttamente tramite l'API Filestore. Per ulteriori informazioni, consulta Livelli di servizio.

  • Quando ripristini un backup, la nuova istanza deve utilizzare lo stesso protocollo dell'istanza di origine.

Passaggi successivi