Fonctionnalités de Google Cloud NetApp Volumes

Cette page présente les fonctionnalités de Google Cloud NetApp Volumes.

Stockage en réseau

NetApp Volumes partage des systèmes de fichiers, ou volumes, avec des clients de stockage en réseau (NAS). Les clients NAS sont généralement des machines virtuelles (VM) qui s'exécutent sur des systèmes d'exploitation Windows ou Linux à l'aide des protocoles NFS (Network File System) et SMB (Server Message Block) standards du secteur.

Modèle client-serveur

NFS et SMB utilisent un modèle client-serveur dans lequel un client envoie des requêtes à un serveur pour agir sur le système de fichiers. Le serveur effectue des opérations telles que la création ou la suppression de fichiers ou de dossiers, la modification de fichiers, et la navigation et la lecture de fichiers.

Les systèmes de fichiers sont intégrés dans des volumes qui peuvent être partagés par de nombreux clients. En règle générale, les systèmes d'exploitation Windows, Linux et UNIX incluent un logiciel client SMB et NFS intégré.

Autorisations d'accès

Tous les objets du système de fichiers doivent avoir un propriétaire, mais vous pouvez accorder des autorisations d'accès à d'autres utilisateurs et groupes.

Pour NFS, la propriété spécifie les ID utilisateur et les ID de groupe, qui utilisent les autorisations utilisateur et de groupe standard de type UNIX. NFSv4.1 peut utiliser des ID d'utilisateur et de groupe ou des principaux de sécurité. Lorsque vous utilisez NFSv4.1 avec Kerberos, l'utilisation des comptes principaux Kerberos remplace l'accès à l'ID utilisateur, qui authentifie les identités des utilisateurs. En plus des autorisations UNIX standards, NFSv4.1 propose également des listes de contrôle d'accès NFSv4.1 comme méthode alternative pour gérer les accès.

Pour SMB, les identifiants de sécurité Windows spécifient la propriété et utilisent des listes de contrôle des accès de type NTFS pour gérer l'accès aux objets.

Pools de stockage

Les pools de stockage servent de conteneurs pour les volumes. Tous les volumes d'un pool de stockage partagent les informations suivantes :

  • Emplacement

  • Niveau de service

  • Réseau cloud privé virtuel (VPC)

  • Stratégie Active Directory

  • Utilisation de LDAP pour les volumes NFS, le cas échéant

  • Règlement relatif aux clés de chiffrement gérées par le client (CMEK)

  • Disponibilité des pools zonaux ou régionaux

La capacité du pool peut être divisée et attribuée aux volumes du pool. Les pools de stockage sont un composant facturable de NetApp Volumes. La facturation dépend de l'emplacement, du niveau de service et de la capacité allouée à un pool, indépendamment de la consommation au niveau du volume.

Pools de stockage avec le niveau de service Flex

Les pools de stockage Flex offrent deux options de disponibilité et deux options de performances.

Options de disponibilité

Les pools de stockage Flex offrent deux options de disponibilité :

  • Pools zonaux : ils offrent une disponibilité dans une seule zone. Toutefois, si toute la zone subit une panne, les volumes du pool zonal deviennent inaccessibles.

  • Pools régionaux : assure la disponibilité sur deux zones d'une région. Les volumes sont répliqués de manière synchrone entre la zone principale et la zone de réplique pour garantir un accès continu à vos données en cas d'indisponibilité de la zone principale. En cas de défaillance de la zone principale, le basculement vers la zone secondaire est automatique. Vous pouvez effectuer un basculement de zone manuel pour le retour à la normale ou l'équilibrage de charge, selon vos besoins.

Une fois le pool créé, vous ne pouvez pas basculer entre la disponibilité zonale et régionale.

Pour en savoir plus sur la disponibilité de NetApp Volumes, consultez le contrat de niveau de service (SLA) de Google Cloud NetApp Volumes.

Options de performances

Les pools de stockage Flex offrent deux options de performances :

  • Performances par défaut : fournit un débit et des IOPS déterminés par la capacité du pool de stockage. Il est disponible dans toutes les régions qui prennent en charge le niveau de service Flex, avec des options de disponibilité régionale et zonale.

  • Performances personnalisées : permet de configurer indépendamment la capacité, le débit et les IOPS. Il est disponible dans certaines régions et zones sur les pools de stockage Flex avec disponibilité zonale.

Une fois le pool créé, vous ne pouvez pas basculer entre les options de performances par défaut et personnalisées.

Performances par défaut

Les pools de stockage de performances par défaut pour Flex sont disponibles dans toutes les régions qui prennent en charge le niveau de service Flex et sont proposés avec toutes les options de disponibilité. Dans le cas où un pool de disponibilité zonal propose des performances personnalisées, les performances par défaut ne peuvent être configurées qu'à l'aide de Google Cloud CLI ou de l'API. Ces performances par défaut associent directement la capacité aux performances.

Le pool de stockage de performances par défaut Flex offre un débit de 16 Kio/s par Gio de capacité de pool, jusqu'à un maximum de 1,6 Gio/s, et 1 024 IOPS par Tio de capacité de pool, jusqu'à un maximum de 60 000 IOPS.

Tous les volumes du pool de stockage partagent les performances du pool.

Pour en savoir plus sur les régions disponibles, consultez la section Régions où le service est disponible.

Performances personnalisées

Les performances personnalisées Flex sont disponibles dans certaines régions et zones avec des pools de stockage zonaux. Elles permettent de configurer indépendamment la capacité, le débit et les IOPS pour prendre en charge vos différentes charges de travail. Vous n'avez donc pas besoin de provisionner de capacité supplémentaire pour atteindre les performances requises par votre application.

Lorsque vous créez des pools de stockage avec des performances personnalisées, vous pouvez configurer le débit et les IOPS indépendamment de la capacité spécifiée. Quelle que soit la capacité, chaque pool inclut par défaut 64 Mio/s de débit et 1 024 IOPS. Vous pouvez augmenter le débit de n'importe quel pool zonal jusqu'à un maximum de 5 Gio/s, par incréments de 1 Mio/s. Pour chaque Mio/bit de débit provisionné supplémentaire, 16 IOPS supplémentaires sont inclus. Vous pouvez également provisionner des IOPS supplémentaires selon vos besoins, jusqu'à un maximum de 160 000 IOPS. Les limites de performances effectives que vous atteindrez seront déterminées par la configuration du débit ou des IOPS, selon la limite atteinte en premier. La limite que vous atteignez en premier dépend de la taille de bloc utilisée par votre application.

Pour en savoir plus sur la taille de bloc attendue par rapport au débit et aux IOPS, consultez Benchmarks de performances.

Tous les volumes du pool de stockage partagent les performances du pool.

Les performances personnalisées ne sont disponibles que dans certaines régions. Pour en savoir plus sur les régions disponibles, consultez Régions où les performances personnalisées Flex sont disponibles.

Volumes

Un volume est un conteneur de système de fichiers dans un pool de stockage qui stocke les données d'application, de base de données et utilisateur.

Vous pouvez créer la capacité d'un volume à l'aide de la capacité disponible dans le pool de stockage. Vous pouvez également définir et redimensionner la capacité sans interrompre les processus.

Les paramètres des pools de stockage s'appliquent automatiquement aux volumes qu'ils contiennent.

Instantanés et gestion des données basée sur des instantanés

NetApp Volumes vous aide à gérer votre utilisation des données à l'aide des fonctionnalités d'instantané. Cela vous permet de prendre des instantanés de vos données en quelques secondes sans avoir besoin d'espace de stockage supplémentaire.

Les instantanés NetApp Volumes ne sont pas une copie physique distincte de vos données. En revanche, les instantanés NetApp Volumes ne capturent que les données qui ont été modifiées depuis le dernier instantané. Notez que lorsque vous écrasez toutes vos données, les instantanés peuvent consommer une capacité de volume importante.

Réplication de volume

Vous pouvez protéger vos données grâce à la réplication de volume multi-emplacements, qui réplique de manière asynchrone un volume source à un emplacement vers un volume de destination situé à un autre emplacement. Cette fonctionnalité vous permet d'utiliser l'autre volume pour les activités d'application critiques en cas de panne ou de catastrophe à l'échelle d'un emplacement.

La réplication de volume ne déplace que les blocs de données utilisés lors du transfert initial. Lors des transferts incrémentiels suivants, seuls les blocs modifiés sont transférés. Les frais ne sont facturés que pour les octets transférés, ce qui permet d'optimiser les délais de transfert et de réduire les coûts.

Sauvegardes

Une sauvegarde est une copie d'un volume stockée indépendamment du volume dans un coffre de sauvegarde. Si un volume n'est pas disponible ou est supprimé, vous pouvez utiliser des sauvegardes pour restaurer vos données sur un nouveau volume. NetApp Volumes est compatible avec les sauvegardes de volumes manuelles et planifiées.

La première sauvegarde d'un volume contient toutes les données de ce volume. Les sauvegardes suivantes ne capturent que les modifications incrémentielles, ce qui permet des sauvegardes incrémentielles rapides et réduit la capacité requise dans le coffre-fort de sauvegarde.

Intégration d'Active Directory

Les protocoles de partage de fichiers tels que SMB (CIFS), NFSv3 avec groupes étendus et NFSv4.1 s'appuient sur des services d'annuaire externes pour fournir des informations sur l'identité des utilisateurs à l'aide de principaux de sécurité. NetApp Volumes s'appuie sur Active Directory pour les services d'annuaire. Active Directory fournit des services tels que les serveurs LDAP pour rechercher les objets suivants :

  • Utilisateurs

  • Groupes

  • Comptes machine

  • Serveurs DNS (pour la résolution des noms d'hôte)

  • Serveurs Kerberos (à des fins d'authentification)

Chiffrement des données

NetApp Volumes chiffrent toujours vos données au repos à l'aide de clés spécifiques aux volumes.

Avec les clés de chiffrement gérées par le client (CMEK), les clés spécifiques au volume sont encapsulées à l'aide de vos clés stockées dans Cloud Key Management Service. Cette fonctionnalité vous permet de mieux contrôler les clés de chiffrement que vous utilisez et ajoute une couche de sécurité supplémentaire en stockant les clés sur un système ou dans un emplacement différent de celui des données. NetApp Volumes est compatible avec les fonctionnalités de Cloud Key Management Service, telles que les modules de sécurité matérielle, la gestion des clés de chiffrement et le cycle de vie complet de la gestion des clés (génération, utilisation, rotation et destruction).

Sélection automatique du niveau

Les utilisateurs qui disposent de grandes quantités de données inactives peuvent réduire leurs coûts de stockage globaux en utilisant le tiering automatique. La hiérarchisation automatique déplace les données inactives vers un niveau de stockage moins coûteux. Ce processus est transparent pour les clients NFS et SMB, et les utilisateurs ont une visibilité et une accessibilité complètes aux données. L'accès aux données froides est plus lent que l'accès aux données chaudes. Pour en savoir plus, consultez Gérer le tiering automatique.

Migration de volume

La fonctionnalité de migration de volumes vous permet de migrer des volumes Flex basés sur ONTAP vers NetApp Volumes à l'aide d'une migration basée sur SnapMirror. Cette migration utilise des transferts de base et incrémentiels pour minimiser le temps d'arrêt nécessaire au transfert de vos charges de travail vers NetApp Volumes. Cette fonctionnalité n'est pas destinée à la réplication continue.

Accès LDAP à Active Directory

Les cas d'utilisation NFS utilisent Active Directory comme serveur LDAP. NetApp Volumes s'attend à recevoir des données d'identité utilisant un schéma RFC2307bis. Active Directory fournit déjà ce schéma, mais vous devez vous assurer de renseigner les attributs requis pour vos utilisateurs et groupes.

NetApp Volumes interagit avec LDAP en interrogeant les attributs suivants :

  • Noms d'utilisateur

  • Utilisateurs UNIX numériques (ID utilisateur)

  • Groupes

  • Appartenance à des groupes pour les opérations du protocole NFS

Lorsque vous utilisez LDAP pour des opérations telles que la recherche de noms et la récupération de groupes étendus, le processus suivant se produit :

  1. NetApp Volumes utilise la configuration du client LDAP pour se connecter à un serveur LDAP de contrôleur de domaine. Le serveur LDAP est trouvé à l'aide de la règle Active Directory du pool de stockage.

  2. Si la connexion TCP au port du service LDAP réussit, le client LDAP NetApp Volumes tente de se connecter au serveur LDAP des contrôleurs de domaine à l'aide des identifiants définis dans la stratégie Active Directory.

  3. NetApp Volumes utilise la signature LDAP si nécessaire. La signature LDAP nécessite un enregistrement PTR DNS correct pour le serveur LDAP.

  4. Une fois l'authentification réussie entre le client LDAP NetApp Volumes et le serveur LDAP du contrôleur de domaine, le client LDAP NetApp Volumes utilise le schéma LDAP RFC 2307bis pour interroger le serveur LDAP. Les informations suivantes sont transmises au serveur dans la requête :

    • Nom de domaine (Base ou user DN)

    • Type de portée de la recherche (sous-arborescence)

    • Classe d'objet (user, posixAccount pour les utilisateurs et posixGroup pour les groupes)

    • UID ou nom d'utilisateur

    • Attributs demandés (uid, uidNumber, gidNumber pour les utilisateurs ou gidNumber pour les groupes)

  5. Si l'utilisateur ou le groupe sont introuvables, la demande échoue et l'accès est refusé.

  6. Si la requête aboutit, les attributs utilisateur et de groupe sont mis en cache pour une utilisation ultérieure. La recherche de noms et l'extraction de groupes étendus améliorent les performances des requêtes LDAP ultérieures associées aux attributs utilisateur ou de groupe mis en cache, et réduisent également la charge sur le serveur LDAP.

Mise en cache des attributs

NetApp Volumes met en cache les résultats des requêtes LDAP. Le tableau suivant décrit les paramètres de valeur TTL (Time To Live) du cache LDAP. Si le cache contient des données non valides en raison de configurations incorrectes que vous souhaitez corriger, vous devez attendre que le cache soit actualisé pour que vos modifications dans Active Directory soient détectées. Sinon, le serveur NFS continue d'utiliser les anciennes données pour vérifier l'accès, ce qui peut entraîner des notifications d'autorisation refusée sur le client. Une fois le délai TTL écoulé, les entrées expirent pour éviter que les entrées obsolètes ne restent trop longtemps. Les requêtes de recherche manquantes sont conservées pendant une minute (TTL) pour éviter les problèmes de performances.

Cache Délai avant expiration par défaut
Liste des membres d'un groupe Valeur TTL de 24 heures
Groupes UNIX (ID utilisateur du groupe) Durée de vie de 24 heures, durée de vie négative de 2 heures
Utilisateurs UNIX (ID utilisateur) Durée de vie de 24 heures, durée de vie négative de 2 heures

Étapes suivantes

En savoir plus sur les niveaux de service de Google Cloud NetApp Volumes