O Filestore oferece suporte aos seguintes protocolos de sistema de arquivos:
NFSv3
- Disponível em todos os níveis de serviço.
- Dá suporte à comunicação bidirecional entre o cliente e o servidor.
- Usa várias portas.
- Cria um canal de confiança para operações e tráfego de rede.
- Oferece uma configuração rápida para o acesso POSIX padrão.
NFSv4.1 (pré-lançamento)
- Disponível nas regiões zonais, regionais e de nível de serviço empresarial.
- Compatível com configurações de firewall modernas e atende aos requisitos de compliance de segurança de rede.
- A comunicação é sempre iniciada pelo cliente e sempre é enviada por
uma única porta do servidor,
2049
. - Suporte para autenticação de cliente e servidor.
- Requer autenticação RPCSEC_GSS que é implementado com LDAP e Kerberos, ambos disponíveis no Serviço gerenciado do Microsoft Active Directory.
- Oferece suporte a LDAP e Kerberos para autenticação (
krb5
), verificações de integridade de mensagens (krb5i
) e criptografia de dados em trânsito (krb5p
). - Oferece suporte a ACLs de arquivos NFSv4.1 para o cliente e o servidor.
- A comunicação é sempre iniciada pelo cliente e sempre é enviada por
uma única porta do servidor,
Cada protocolo é mais adequado para casos de uso específicos. A tabela a seguir compara as especificações de cada protocolo:
Especificação | NFSv3 | NFSv4.1 |
---|---|---|
Níveis de serviço compatíveis | Todos os níveis de serviço | Zonal, regional e empresarial |
Comunicação bidirecional | Sim | Não. A comunicação é sempre iniciada pelo cliente usando a porta do servidor 2049 . |
Autenticação | Não | Sim. Requer a autenticação RPCSEC_GSS, implementada usando LDAP e Kerberos, ambos disponíveis no Serviço gerenciado para o Microsoft Active Directory. |
Suporte a listas de controle de acesso (ACLs) de arquivos ou diretórios | Não | Sim. Suporta até 50 entradas de controle de acesso (ACEs) por lista. |
Suporte a grupos | Até 16 grupos | Suporte a grupos ilimitados quando conectado ao Microsoft AD gerenciado. |
Configuração de segurança | sys : Cria um canal de confiança. |
sys : cria um canal de confiança. krb5 . Autentica o cliente e o servidor. krb5i . Fornece verificações de integridade de mensagens e autenticação.krb5p . Oferece autenticação, verificações de integridade de mensagens e criptografia de dados em trânsito. |
Latência das operações | Nenhum | A latência das operações aumenta com o nível de segurança selecionado. |
Tipo de recuperação | Sem estado | Com estado |
Tipo de bloqueio de arquivo | Gerenciador de bloqueio de rede (NLM, na sigla em inglês). A fechadura é controlada pelo cliente. | Bloqueio de consultoria baseado em locação. O bloqueio é controlado pelo servidor. |
Suporte a falhas do cliente | Não | Sim |
Dá suporte ao acesso a serviços particulares | Não | Não |
Benefícios do NFSv3
O protocolo NFSv3 oferece uma configuração rápida para acesso POSIX padrão.
Limitações do NFSv3
Veja a seguir uma lista das limitações do NFSv3:
- Não oferece suporte ao acesso a serviços privados.
- Não tem autenticação e criptografia de cliente e servidor.
- Não há tratamento de falhas do cliente.
Benefícios do NFSv4.1
O protocolo NFSv4.1 usa o método Autenticação RPCSEC_GSS, que é implementado usando LDAP e Kerberos para fornecer autenticação do cliente e do servidor, verificações de integridade de mensagens e criptografia de dados em trânsito.
Esses recursos de segurança tornam o protocolo NFSv4.1 compatível com requisitos de conformidade de segurança de rede:
Usa uma única porta de servidor,
2049
, para toda a comunicação, ajudando a simplificar a comunicação. de firewall hierárquicas.Suporte a grupos ilimitados ao usar a integração com o Microsoft AD gerenciado.
Suporte a uma melhor manipulação de falhas do cliente com bloqueio de aviso baseado em cessão.
- O cliente precisa verificar a conexão contínua com o servidor. Se o cliente não renovar o lease, o servidor liberará o bloqueio, e o arquivo será para qualquer outro cliente que solicitar acesso por meio de uma concessão de bloqueio. No NFSv3, se um cliente for excluído enquanto estiver bloqueado, o arquivo não poderá ser acessado por outro cliente, como um novo nó do GKE.
Oferece suporte à recuperação com estado.
- Ao contrário do NFSv3, o NFSv4.1 é um protocolo stateful baseado em TCP e em conexões. O estado do cliente e do servidor na sessão anterior pode ser retomado após a recuperação.
Serviço gerenciado para Microsoft Active Directory
Embora o Serviço gerenciado para o Microsoft Active Directory (Microsoft AD gerenciado) é a única solução gerenciada pelo Google Cloud para oferecem suporte ao LDAP e ao Kerberos, sendo ambos requisitos para a protocolo NFSv4.1 do Filestore.
Recomendamos que os administradores usem o Serviço gerenciado para Microsoft Active Directory (Microsoft AD gerenciado) para implementar e gerenciar o LDAP e o Kerberos.
Como uma solução gerenciada pelo Google Cloud, o Microsoft AD gerenciado oferece a os seguintes benefícios:
Oferece implantação multirregional, com suporte para até cinco regiões no mesmo domínio.
- Reduz a latência, garantindo que os usuários e os respectivos servidores de login estejam mais próximos.
Suporte a POSIX RFC 2307 e RFC 2307bis, requisitos para a implementação do NFSv4.1.
Automatiza o identificador exclusivo (UID) e o identificador globalmente exclusivo (GUID) do usuário mapeamento.
É possível criar ou migrar usuários e grupos para o Microsoft AD gerenciado.
Os administradores podem criar uma confiança de domínio com o domínio local, autogerenciado, do Active Directory (AD) e do LDAP. Com essa opção, a migração não é necessária.
Fornece um SLA.
Limitações do NFSv4.1
Veja a seguir uma lista das limitações do NFSv4.1:
O protocolo NFSv4.1 não pode ser combinado com os seguintes recursos:
Depois de configurado, não exclua o Microsoft AD gerenciado e o peering de rede. Isso faz com que o compartilhamento do Filestore fique inacessível enquanto estiver montado em um cliente, tornando seus dados inacessíveis. O Google Cloud não é responsável por interrupções causadas por ações de administradores ou usuários.
Ao utilizar qualquer uma das configurações de segurança autenticadas do Kerberos, os usuários poderão espera alguma latência de operações. As taxas de latência variam de acordo com o nível de serviço e configuração de segurança especificada. A latência aumenta a cada aumento da segurança nível
Não há suporte para auditoria de acesso a dados.
A solução Filestore NFSv4.1 requer a Autenticação RPCSEC_GSS. Este método de autenticação só é implementado com o LDAP e Kerberos, ambos disponíveis no Microsoft AD gerenciado. Outros mecanismos de autenticação não são compatíveis.
Não oferece suporte ao acesso a serviços privados.
Se você quiser que uma instância do Filestore participe do Microsoft AD gerenciado por uma VPC compartilhada, use
gcloud
ou o Filestore API. Não é possível mesclar a instância ao Microsoft AD gerenciado usando o console do Google Cloud.O nome de domínio do Microsoft AD gerenciado não pode ter mais de 56 caracteres.
Para criar uma instância empresarial, é necessário executar operações diretamente pela API Filestore. Para mais informações, consulte Níveis de serviço.