Google Cloud NetApp Volumes-Funktionen

Auf dieser Seite erhalten Sie einen Überblick über die Funktionen von Google Cloud NetApp Volumes.

Network Attached Storage

NetApp Volumes gibt Dateisysteme oder Volumes für NAS-Clients (Network Attached Storage) frei. NAS-Clients sind in der Regel virtuelle Maschinen (VMs), die unter Windows- oder Linux-Betriebssystemen mit den Branchenstandardprotokollen Network File System (NFS) und Server Message Block (SMB) ausgeführt werden.

Client-Server-Modell

Sowohl NFS als auch SMB verwenden ein Client-Server-Modell, bei dem ein Client Anfragen an einen Server sendet, um Aktionen im Dateisystem auszuführen. Der Server führt Vorgänge wie das Erstellen oder Löschen von Dateien oder Ordnern, das Ändern von Dateien sowie das Durchsuchen und Lesen von Dateien aus.

Dateisysteme sind in Volumes eingebettet, die von vielen Clients gemeinsam genutzt werden können. In der Regel enthalten die Betriebssysteme Windows, Linux und UNIX integrierte SMB- und NFS-Clientsoftware.

Zugriffsberechtigungen

Alle Dateisystemobjekte müssen einen Inhaber haben. Sie können aber anderen Nutzern und Gruppen Zugriffsberechtigungen für Objekte erteilen.

Bei NFS wird die Inhaberschaft durch Nutzer-IDs und Gruppen-IDs angegeben, die standardmäßige Nutzer- und Gruppenberechtigungen im UNIX-Stil verwenden. NFSv4.1 kann Nutzer- und Gruppen-IDs oder Sicherheits-Principals verwenden. Wenn Sie NFSv4.1 mit Kerberos verwenden, wird der Zugriff über Nutzer-IDs durch die Verwendung von Kerberos-Principals ersetzt, mit denen Nutzeridentitäten authentifiziert werden. Zusätzlich zu den standardmäßigen UNIX-Berechtigungen bietet NFSv4.1 auch NFSv4.1-Zugriffssteuerungslisten als alternative Methode zur Verwaltung des Zugriffs.

Für SMB geben Windows-Sicherheitskennungen die Eigentümerschaft an und verwenden NTFS-Zugriffssteuerungslisten, um den Zugriff auf Objekte zu verwalten.

Speicherpools

Speicherpools fungieren als Container für Volumes. Alle Volumes in einem Speicherpool haben die folgenden Informationen gemeinsam:

  • Standort

  • Service-Level

  • VPC-Netzwerk (Virtual Private Cloud)

  • Active Directory-Richtlinie

  • LDAP-Verwendung für NFS-Volumes, falls zutreffend

  • Richtlinie für vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK)

  • Zonale oder regionale Poolverfügbarkeit

Die Kapazität des Pools kann aufgeteilt und Volumes im Pool zugewiesen werden. Speicherpools sind eine abrechenbare Komponente von NetApp Volumes. Die Abrechnung erfolgt anhand des Standorts, des Service-Levels und der einem Pool zugewiesenen Kapazität, unabhängig vom Verbrauch auf Volume-Ebene.

Speicherpools mit dem Service-Level „Flex“

Die Flex-Speicherpools bieten zwei Verfügbarkeits- und zwei Leistungsoptionen.

Verfügbarkeitsoptionen

Die Flex-Speicherpools bieten zwei Verfügbarkeitsoptionen:

  • Zonale Pools: Bietet Verfügbarkeit in einer einzelnen Zone. Wenn jedoch die gesamte Zone ausfällt, sind die Volumes im zonalen Pool nicht mehr zugänglich.

  • Regionale Pools: Bieten Verfügbarkeit in zwei Zonen innerhalb einer Region. Volumes werden synchron zwischen der primären Zone und der Replikatzone repliziert, um bei einem Ausfall der primären Zone einen kontinuierlichen Zugriff auf Ihre Daten zu gewährleisten. Bei einem Ausfall der primären Zone erfolgt das Failover zur sekundären Zone automatisch. Sie können bei Bedarf einen manuellen Zonenwechsel für das Failback oder das Load-Balancing durchführen.

Nachdem Sie den Pool erstellt haben, können Sie nicht mehr zwischen zonaler und regionaler Verfügbarkeit wechseln.

Weitere Informationen zur Verfügbarkeit von NetApp Volumes finden Sie im Service Level Agreement (SLA) für Google Cloud NetApp Volumes.

Leistungsoptionen

Die Flex-Speicherpools bieten zwei Leistungsoptionen:

  • Standardleistung: bietet Durchsatz und IOPS, die durch die Kapazität des Speicherpools bestimmt werden. Sie ist in allen Regionen verfügbar, die das Service-Level „Flex“ unterstützen, und bietet sowohl regionale als auch zonale Verfügbarkeitsoptionen.

  • Benutzerdefinierte Leistung: Ermöglicht die unabhängige Konfiguration von Kapazität, Durchsatz und IOPS. Sie ist in ausgewählten Regionen und Zonen für Flex-Speicherpools mit zonaler Verfügbarkeit verfügbar.

Nachdem Sie den Pool erstellt haben, können Sie nicht mehr zwischen Standard- und benutzerdefinierten Leistungsoptionen wechseln.

Standardleistung

Die Standard-Leistungsspeicherpools für Flex sind in allen Regionen verfügbar, die das Service-Level „Flex“ unterstützen, und werden mit allen Verfügbarkeitsoptionen angeboten. Wenn ein zonaler Verfügbarkeitspool benutzerdefinierte Leistung bietet, kann die Standardleistung nur mit der Google Cloud CLI oder API konfiguriert werden. Bei dieser Standardleistung wird die Kapazität direkt mit der Leistung verknüpft.

Der Flex-Standardspeicherpool für Leistung bietet einen Durchsatz von 16 KiBps pro GiB Poolkapazität bis zu einem Maximum von 1,6 GiBps und 1.024 IOPS pro TiB Poolkapazität bis zu einem Maximum von 60.000 IOPS.

Alle Volumes im Speicherpool nutzen die Leistung des Pools gemeinsam.

Weitere Informationen zu verfügbaren Regionen finden Sie unter Unterstützte Regionen.

Benutzerdefinierte Leistung

Die benutzerdefinierte Leistung von Flex ist in ausgewählten Regionen und Zonen mit zonalen Speicherpools verfügbar und bietet eine unabhängige Konfiguration von Kapazität, Durchsatz und IOPS zur Unterstützung Ihrer verschiedenen Arbeitslasten. Dadurch ist es nicht mehr erforderlich, zusätzliche Kapazität bereitzustellen, um die Leistungsanforderungen Ihrer Anwendung zu erfüllen.

Wenn Sie Speicherpools mit benutzerdefinierter Leistung erstellen, können Sie Durchsatz und IOPS unabhängig von der angegebenen Kapazität konfigurieren. Unabhängig von der Kapazität umfasst jeder Pool standardmäßig einen Durchsatz von 64 MiBps und 1.024 IOPS. Sie können den Durchsatz für jeden zonalen Pool in Schritten von 1 MiBps auf maximal 5 GiBps erhöhen. Für jedes zusätzliche MiB/s bereitgestellten Durchsatzes sind 16 zusätzliche IOPS enthalten. Sie können bei Bedarf auch zusätzliche IOPS bereitstellen, bis zu einem Maximum von 160.000 IOPS. Die tatsächlichen Leistungsgrenzen, die Sie erreichen, werden entweder durch die Durchsatz- oder die IOPS-Konfiguration bestimmt, je nachdem, welches Limit zuerst erreicht wird. Das Limit, das Sie zuerst erreichen, hängt von der Blockgröße ab, die von Ihrer Anwendung verwendet wird.

Weitere Informationen zur erwarteten Blockgröße im Vergleich zu Durchsatz und IOPS finden Sie unter Leistungsbenchmarks.

Alle Volumes im Speicherpool nutzen die Leistung des Pools gemeinsam.

Die benutzerdefinierte Leistung wird nur in ausgewählten Regionen unterstützt. Weitere Informationen zu verfügbaren Regionen finden Sie unter Unterstützte Regionen für benutzerdefinierte Flex-Leistung.

Volumes

Ein Volume ist ein Dateisystemcontainer in einem Speicherpool, in dem Anwendungs-, Datenbank- und Nutzerdaten gespeichert werden.

Sie können die Kapazität eines Volumes mit der verfügbaren Kapazität im Speicherpool erstellen und die Kapazität ohne Unterbrechung von Prozessen definieren und ändern.

Die Einstellungen für Speicherpools werden automatisch auf die darin enthaltenen Volumes angewendet.

Snapshots und Snapshot-basierte Datenverwaltung

Mit NetApp Volumes können Sie Ihre Datennutzung mithilfe von Snapshots verwalten. So können Sie in Sekundenschnelle Snapshots Ihrer Daten erstellen, ohne dass zusätzlicher Speicherplatz erforderlich ist.

NetApp Volumes-Snapshots sind keine separate physische Kopie Ihrer Daten. Stattdessen werden in NetApp Volumes-Snapshots nur die Daten erfasst, die sich seit dem letzten Snapshot geändert haben. Wenn Sie alle Ihre Daten überschreiben, können Snapshots viel Speicherplatz belegen.

Volume-Replikation

Sie können Ihre Daten durch standortübergreifende Volume-Replikation schützen. Dabei wird ein Quellvolume an einem Standort asynchron auf ein Zielvolume an einem anderen Standort repliziert. Mit dieser Funktion können Sie das andere Volume bei einem standortweiten Ausfall oder Notfall für kritische Anwendungsaktivitäten verwenden.

Bei der Volumereplikation werden bei der ersten Übertragung nur verwendete Datenblöcke verschoben. Bei nachfolgenden inkrementellen Übertragungen werden nur geänderte Blöcke übertragen. Es fallen nur Gebühren für übertragene Byte an. Dadurch werden die Übertragungszeiten optimiert und die Kosten gesenkt.

Sicherungen

Eine Sicherung ist eine Kopie eines Volumes, die unabhängig vom Volume in einem Backup Vault gespeichert wird. Wenn ein Volume nicht verfügbar oder gelöscht ist, können Sie Ihre Daten mithilfe von Sicherungen auf einem neuen Volume wiederherstellen. NetApp Volumes unterstützt manuelle und geplante Volume-Sicherungen.

Die erste Sicherung eines Volumes enthält alle Daten des Volumes. Bei nachfolgenden Sicherungen werden nur inkrementelle Änderungen erfasst, was schnelle inkrementelle Sicherungen ermöglicht und die erforderliche Kapazität im Sicherungstresor reduziert.

Integration in Active Directory

Dateifreigabeprotokolle wie SMB (CIFS), NFSv3 mit erweiterten Gruppen und NFSv4.1 sind auf externe Verzeichnisdienste angewiesen, um Nutzeridentitätsinformationen mithilfe von Sicherheitsprinzipalen bereitzustellen. NetApp Volumes verwendet Active Directory für Verzeichnisdienste. Active Directory bietet Dienste wie LDAP-Server zum Suchen der folgenden Objekte:

  • Nutzer

  • Gruppen

  • Maschinenkonten

  • DNS-Server (zur Hostnamensauflösung)

  • Kerberos-Server (zur Authentifizierung)

Datenverschlüsselung

In NetApp Volumes werden Ihre inaktiven Daten immer mit volumenspezifischen Schlüsseln verschlüsselt.

Mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) werden volumenspezifische Schlüssel mit Ihren in Cloud Key Management Service gespeicherten Schlüsseln verschlüsselt. Mit dieser Funktion haben Sie mehr Kontrolle über die verwendeten Verschlüsselungsschlüssel. Außerdem wird eine zusätzliche Sicherheitsebene hinzugefügt, da die Schlüssel auf einem System oder an einem Ort gespeichert werden, der sich von den Daten unterscheidet. NetApp Volumes unterstützt Cloud Key Management Service-Funktionen wie Hardware Security Modules, Encryption Key Management und den vollständigen Schlüsselverwaltungslebenszyklus von Generieren, Verwenden, Rotieren und Vernichten.

Automatisches Tiering

Nutzer mit großen Mengen inaktiver Daten können ihre Gesamtspeicherkosten durch die automatische Stufung reduzieren. Beim automatischen Tiering werden inaktive Daten in eine kostengünstigere Speicherstufe verschoben. Dieser Prozess ist für NFS- und SMB-Clients transparent und die Nutzer haben vollen Zugriff auf die Daten. Der Zugriff auf kalte Daten ist langsamer als der Zugriff auf heiße Daten. Weitere Informationen finden Sie unter Automatische Stufung verwalten.

Volume-Migration

Mit der Volume-Migration können Sie ONTAP-basierte Flex-Volumes mit einer SnapMirror-basierten Migration zu NetApp Volumes migrieren. Bei dieser Migration werden Baseline- und inkrementelle Übertragungen verwendet, um die Ausfallzeit zu minimieren, die für die Umstellung Ihrer Arbeitslasten auf NetApp Volumes erforderlich ist. Diese Funktion ist nicht für die fortlaufende Replikation vorgesehen.

Active Directory-LDAP-Zugriff

Bei NFS-Anwendungsfällen wird Active Directory als LDAP-Server verwendet. Für NetApp-Volumes werden Identitätsdaten im RFC2307bis-Schema erwartet. Dieses Schema ist bereits in Active Directory verfügbar. Sie müssen jedoch dafür sorgen, dass die erforderlichen Attribute für Ihre Nutzer und Gruppen ausgefüllt sind.

NetApp Volumes interagiert mit LDAP, indem die folgenden Attribute abgefragt werden:

  • Nutzernamen

  • Numerische UNIX-Nutzer (Nutzer-ID)

  • Gruppen

  • Gruppenmitgliedschaften für NFS-Protokollvorgänge

Wenn Sie LDAP für Vorgänge wie die Namenssuche und das Abrufen erweiterter Gruppen verwenden, läuft der folgende Prozess ab:

  1. NetApp Volumes verwendet die LDAP-Clientkonfiguration, um eine Verbindung zu einem Domaincontroller-LDAP-Server herzustellen. Der LDAP-Server wird über die Active Directory-Richtlinie des Speicherpools gefunden.

  2. Wenn die TCP-Verbindung zum LDAP-Serviceport erfolgreich ist, versucht der NetApp Volumes-LDAP-Client, sich mit den in der Active Directory-Richtlinie definierten Anmeldedaten beim LDAP-Server des Domaincontrollers anzumelden.

  3. NetApp Volumes verwendet bei Bedarf die LDAP-Signierung. Für die LDAP-Signierung ist ein korrekter DNS-PTR-Eintrag für den LDAP-Server erforderlich.

  4. Nach einer erfolgreichen Authentifizierung zwischen dem NetApp Volumes-LDAP-Client und dem LDAP-Server des Domaincontrollers verwendet der NetApp Volumes-LDAP-Client das RFC 2307bis-LDAP-Schema, um den LDAP-Server abzufragen. Die folgenden Informationen werden in der Abfrage an den Server übergeben:

    • Domainname als Base oder user DN

    • Suchbereichstyp (Unterstruktur)

    • Objektklasse (user, posixAccount für Nutzer und posixGroup für Gruppen)

    • UID oder Nutzername

    • Angefragte Attribute (uid, uidNumber, gidNumber für Nutzer oder gidNumber für Gruppen)

  5. Wenn der Nutzer oder die Gruppe nicht gefunden werden kann, schlägt die Anfrage fehl und der Zugriff wird verweigert.

  6. Wenn die Anfrage erfolgreich ist, werden Nutzer- und Gruppenattribute für die zukünftige Verwendung im Cache gespeichert. Die Namenssuche und das Abrufen erweiterter Gruppen verbessern die Leistung nachfolgender LDAP-Abfragen, die mit den zwischengespeicherten Nutzer- oder Gruppenattributen verknüpft sind. Außerdem wird die Belastung des LDAP-Servers reduziert.

Attribut-Caching

NetApp Volumes speichert die Ergebnisse von LDAP-Abfragen im Cache. In der folgenden Tabelle werden die Einstellungen für die Gültigkeitsdauer (Time-to-Live, TTL) für den LDAP-Cache beschrieben. Wenn im Cache aufgrund von Fehlkonfigurationen, die Sie beheben möchten, ungültige Daten gespeichert sind, müssen Sie warten, bis der Cache aktualisiert wird, bevor Ihre Änderungen in Active Directory erkannt werden. Andernfalls verwendet der NFS-Server weiterhin die alten Daten, um den Zugriff zu bestätigen. Dies kann dazu führen, dass auf dem Client Benachrichtigungen über verweigerte Berechtigungen angezeigt werden. Nach Ablauf des TTL-Zeitraums werden Einträge entfernt, damit keine veralteten Einträge verbleiben. Fehlende Suchanfragen werden für eine TTL von einer Minute beibehalten, um Leistungsprobleme zu vermeiden.

Cache Standardzeitlimit
Liste der Gruppenmitglieder 24-Stunden-Gültigkeitsdauer
UNIX-Gruppen (Gruppennutzer-ID) 24 Stunden Gültigkeitsdauer, 2 Stunden negative Gültigkeitsdauer
UNIX-Nutzer (Nutzer-ID) 24 Stunden Gültigkeitsdauer, 2 Stunden negative Gültigkeitsdauer

Nächste Schritte

Informationen zu den Servicelevels von Google Cloud NetApp Volumes