Google Cloud NetApp Volumes の機能

このページでは、Google Cloud NetApp Volumes の特長と機能の概要について説明します。

ネットワーク接続ストレージ

NetApp Volumes は、ファイル システム(ボリューム)をネットワーク接続ストレージ(NAS)クライアントと共有します。NAS クライアントは通常、業界標準の NFS(Network File System)プロトコルと SMB(Server Message Block)プロトコルを使用して Windows または Linux オペレーティング システムで実行される仮想マシン(VM)です。

クライアント サーバー モデル

NFS と SMB はどちらもクライアント / サーバー モデルを使用します。このモデルでは、クライアントがサーバーにリクエストを送信して、ファイル システムでアクションを実行します。サーバーは、ファイルやフォルダの作成や削除、ファイルの変更、ファイルの閲覧や読み取りなどのオペレーションを実行します。

ファイル システムはボリュームに埋め込まれており、多くのクライアントで共有できます。通常、Windows、Linux、UNIX オペレーティング システムには、SMB および NFS クライアント ソフトウェアが組み込まれています。

アクセス権限

すべてのファイル システム オブジェクトにはオーナーが必要ですが、他のユーザーやグループにオブジェクトのアクセス権を付与できます。

NFS の所有権では、標準の UNIX スタイルのユーザー権限とグループ権限を使用するユーザー ID とグループ ID を指定します。NFSv4.1 では、ユーザー ID とグループ ID またはセキュリティ プリンシパルを使用できます。Kerberos で NFSv4.1 を使用すると、Kerberos プリンシパルの使用によりユーザー ID アクセスが置き換えられ、ユーザー ID が認証されます。NFSv4.1 では、標準の UNIX 権限に加えて、アクセスを管理する代替方法として NFSv4.1 アクセス制御リストも提供されています。

SMB の場合、Windows セキュリティ ID は所有権を指定し、NTFS スタイルのアクセス制御リストを使用してオブジェクトへのアクセスを管理します。

ストレージ プール

ストレージ プールは、ボリュームのコンテナとして機能します。ストレージ プール内のすべてのボリュームは、次の情報を共有します。

  • 場所

  • サービスレベル

  • Virtual Private Cloud(VPC)ネットワーク

  • Active Directory ポリシー

  • NFS ボリュームの LDAP の使用(該当する場合)

  • 顧客管理の暗号鍵(CMEK)ポリシー

  • ゾーンプールまたはリージョンプールの可用性

プールの容量は分割して、プール内のボリュームに割り当てることができます。ストレージ プールは、NetApp Volumes の課金対象コンポーネントです。課金は、ボリューム レベルの使用量とは関係なく、プールに割り当てられたロケーション、サービスレベル、容量に基づきます。

Flex サービスレベルのストレージ プール

Flex ストレージ プールには、2 つの可用性オプションと 2 つのパフォーマンス オプションがあります。

応答可否状態のオプション

Flex ストレージ プールには、次の 2 つの可用性オプションがあります。

  • ゾーンプール: 単一のゾーン内で可用性を提供します。ただし、ゾーン全体で停止が発生すると、ゾーンプール内のボリュームにアクセスできなくなります。

  • リージョン プール: リージョン内の 2 つのゾーンにわたって可用性を提供します。ボリュームはプライマリ ゾーンとレプリカ ゾーン間で同期的に複製され、プライマリ ゾーンの停止時にデータへの継続的なアクセスが保証されます。プライマリ ゾーンで障害が発生した場合、セカンダリ ゾーンへのフェイルオーバーは自動的に行われます。必要に応じて、フェイルバックまたはロード バランシングのためにゾーンを手動で切り替えることができます。

プールの作成後に、ゾーンの可用性とリージョンの可用性を切り替えることはできません。

NetApp Volumes の可用性の詳細については、Google Cloud NetApp Volumes サービスレベル契約(SLA)をご覧ください。

パフォーマンス オプション

Flex ストレージ プールには、次の 2 つのパフォーマンス オプションがあります。

  • デフォルトのパフォーマンス: ストレージ プールの容量によって決まるスループットと IOPS を提供します。この機能は、Flex サービスレベルをサポートするすべてのリージョンで使用でき、リージョンとゾーンの両方の可用性オプションを提供します。

  • カスタム パフォーマンス: 容量、スループット、IOPS を個別に構成できます。この機能は、ゾーンの可用性を備えた Flex ストレージ プールの特定のリージョンとゾーンで使用できます。

プールの作成後に、デフォルトのパフォーマンス オプションとカスタム パフォーマンス オプションを切り替えることはできません。

デフォルトのパフォーマンス

Flex のデフォルトのパフォーマンス ストレージ プールは、Flex サービスレベルをサポートするすべてのリージョンで使用でき、すべての可用性オプションで提供されます。ゾーン可用性プールでカスタム パフォーマンスが提供されている場合、デフォルトのパフォーマンスは Google Cloud CLI または API を使用してのみ構成できます。このデフォルトのパフォーマンスでは、容量とパフォーマンスが直接リンクされます。

Flex のデフォルトのパフォーマンス ストレージ プールは、プール容量 1 GiB あたり 16 KiBps のスループット(最大 1.6 GiBps)と、プール容量 1 TiB あたり 1, 024 IOPS(最大 60,000 IOPS)を提供します。

ストレージ プール内のすべてのボリュームがプールのパフォーマンスを共有します。

利用可能なリージョンの詳細については、サポートされているリージョンをご覧ください。

カスタム パフォーマンス

Flex カスタム パフォーマンスは、ゾーン ストレージ プールがある一部のリージョンとゾーンで利用できます。容量、スループット、IOPS を個別に構成して、さまざまなワークロードをサポートします。これにより、アプリケーション要件のパフォーマンスを実現するために追加の容量をプロビジョニングする必要がなくなります。

カスタム パフォーマンスでストレージ プールを作成するときに、指定した容量とは無関係にスループットと IOPS を構成できます。容量に関係なく、各プールにはデフォルトで 64 MiBps のスループットと 1, 024 IOPS が含まれています。ゾーンプールごとに、スループットを 1 MiBps 単位で最大 5 GiBps まで増やすことができます。プロビジョニングされたスループットの MiBps が増えるごとに、16 IOPS が追加されます。必要に応じて、最大 160,000 IOPS まで追加の IOPS をプロビジョニングすることもできます。達成される有効なパフォーマンスの上限は、スループットまたは IOPS の構成のいずれか、最初に到達した上限によって決まります。最初に上限に達するのは、アプリケーションで使用されるブロックサイズによって異なります。

想定されるブロックサイズとスループットおよび IOPS の関係については、パフォーマンス ベンチマークをご覧ください。

ストレージ プール内のすべてのボリュームは、プールのパフォーマンスを共有します。

カスタム パフォーマンスは、一部のリージョンでのみサポートされています。使用可能なリージョンの詳細については、Flex カスタム パフォーマンスでサポートされているリージョンをご覧ください。

ボリューム

ボリュームは、アプリケーション、データベース、ユーザーデータを保存するストレージ プール内のファイル システム コンテナです。

ストレージ プールの使用可能な容量を使用してボリュームの容量を作成できます。また、プロセスを中断することなく容量を定義してサイズ変更できます。

ストレージ プールの設定は、そのプール内のボリュームに自動的に適用されます。

スナップショットとスナップショットベースのデータ マネジメント

NetApp Volumes では、スナップショット機能を使用してデータ使用量を管理できます。これにより、追加のストレージ容量を必要とせずに、数秒でデータのスナップショットを作成できます。

NetApp Volumes スナップショットは、データの物理コピーではありません。NetApp Volumes スナップショットでは、前回のスナップショット以降に変更されたデータのみがキャプチャされます。すべてのデータを上書きすると、スナップショットが大量の容量を消費する可能性があります。

ボリューム レプリケーション

クロスロケーションのボリューム レプリケーションによってデータを保護できます。このレプリケーションでは、あるロケーションにあるソース ボリュームが別のロケーションにある宛先ボリュームに非同期で複製されます。この機能により、ロケーション全体のサービス停止や障害が発生した場合に、他のボリュームを重要なアプリケーション アクティビティに使用できるようになります。

ボリューム レプリケーションでは、最初の転送時に使用済みのデータブロックのみが移動されます。以降の増分転送では、変更されたブロックのみが転送されます。転送されたバイト数に対してのみ料金が発生するため、転送時間が最適化され、費用が削減されます。

バックアップ

バックアップは、ボリュームとは独立して Backup Vault に保存されるボリュームのコピーです。ボリュームが使用できない場合や削除された場合は、バックアップを使用してデータを新しいボリュームに復元できます。NetApp Volumes は、手動およびスケジュール設定されたボリューム バックアップをサポートしています。

ボリュームの最初のバックアップには、ボリュームのすべてのデータが含まれます。以降のバックアップでは増分変更のみがキャプチャされるため、高速な永久増分バックアップが可能になり、バックアップ ボルト内の必要な容量が削減されます。

Active Directory のインテグレーション

SMB(CIFS)、拡張グループを使用した NFSv3、NFSv4.1 などのファイル共有プロトコルは、外部ディレクトリ サービスに依存して、セキュリティ プリンシパルを使用してユーザー ID 情報を提供します。NetApp Volumes は、ディレクトリ サービスに Active Directory を使用します。Active Directory は、次のオブジェクトを検索するための LDAP サーバーなどのサービスを提供します。

  • ユーザー

  • グループ

  • マシン アカウント

  • DNS サーバー(ホスト名解決用)

  • Kerberos サーバー(認証用)

データ暗号化

NetApp Volumes は、常にボリューム固有の鍵を使用して保存データを暗号化します。

顧客管理の暗号鍵(CMEK)を使用すると、Cloud Key Management Service に保存されている鍵を使用して、ボリューム固有の鍵がラップされます。この機能を使用すると、使用する暗号鍵をより細かく制御し、データを保存するシステムや場所とは異なるシステムや場所に鍵を保存することで、セキュリティ レイヤを追加できます。NetApp Volumes は、ハードウェア セキュリティ モジュール、暗号鍵管理、生成、使用、ローテーション、破棄の鍵管理ライフサイクル全体など、Cloud Key Management Service の機能をサポートしています。

自動階層化

大量の非アクティブ データがあるユーザーは、自動階層化を使用することで、ストレージの総費用を削減できます。自動階層化により、非アクティブなデータが低価格のストレージ階層に移動します。このプロセスは NFS クライアントと SMB クライアントに対して透過的であり、ユーザーはデータに対する完全な可視性とアクセス権を持ちます。コールド データへのアクセスは、ホット データへのアクセスよりも遅くなります。詳細については、自動階層化を管理するをご覧ください。

ボリュームの移行

ボリュームの移行機能を使用すると、SnapMirror ベースの移行を使用して、ONTAP ベースの Flex ボリュームを NetApp Volumes に移行できます。この移行では、ベースライン転送と増分転送を使用して、ワークロードを NetApp Volumes に切り替えるために必要なダウンタイムを最小限に抑えます。この機能は、継続的なレプリケーションを目的としたものではありません。

Active Directory LDAP アクセス

NFS ユースケースでは、Active Directory が LDAP サーバーとして使用されます。NetApp Volumes は、RFC2307bis スキーマを使用して ID データを想定しています。Active Directory にはすでにこのスキーマが用意されていますが、ユーザーとグループに必要な属性が入力されていることを確認する必要があります。

NetApp Volumes は、次の属性をクエリして LDAP とやり取りします。

  • ユーザー名

  • 数値 UNIX ユーザー(ユーザー ID)

  • グループ

  • NFS プロトコル オペレーションのグループ メンバーシップ

名前の検索や拡張グループの取得などのオペレーションに LDAP を使用すると、次のプロセスが発生します。

  1. NetApp Volumes は、LDAP クライアント構成を使用してドメイン コントローラの LDAP サーバーに接続します。LDAP サーバーは、ストレージ プールの Active Directory ポリシーを使用して検出されます。

  2. LDAP サービスポートへの TCP 接続が成功すると、NetApp Volumes LDAP クライアントは、Active Directory ポリシーで定義された認証情報を使用して、ドメイン コントローラの LDAP サーバーへのログインを試みます。

  3. NetApp Volumes は、必要に応じて LDAP 署名を使用します。LDAP 署名には、LDAP サーバーの正しい DNS PTR レコードが必要です。

  4. NetApp Volumes LDAP クライアントとドメイン コントローラ LDAP サーバー間の認証が成功すると、NetApp Volumes LDAP クライアントは RFC 2307bis LDAP スキーマを使用して LDAP サーバーにクエリを実行します。次の情報がクエリでサーバーに渡されます。

    • ドメイン名(Base または user DN

    • 検索範囲のタイプ(サブツリー)

    • オブジェクト クラス(ユーザーの場合は user、posixAccount、グループの場合は posixGroup)

    • UID またはユーザー名

    • リクエストされた属性(ユーザーの場合は uid、uidNumber、gidNumber、グループの場合は gidNumber)

  5. ユーザーまたはグループが見つからない場合、リクエストは失敗し、アクセスは拒否されます。

  6. リクエストが成功すると、ユーザー属性とグループ属性がキャッシュに保存され、後で使用できるようになります。名前のルックアップと拡張グループの取得により、キャッシュに保存されたユーザー属性またはグループ属性に関連付けられた後続の LDAP クエリのパフォーマンスが向上し、LDAP サーバーの負荷も軽減されます。

属性のキャッシュ保存

NetApp Volumes は LDAP クエリの結果をキャッシュに保存します。次の表に、LDAP キャッシュの有効期間(TTL)の設定を示します。修正する予定の構成ミスによりキャッシュに無効なデータが保持されている場合は、Active Directory の変更が検出されるまでキャッシュが更新されるのを待つ必要があります。そうしないと、NFS サーバーは古いデータを使用してアクセスを検証し続けるため、クライアントで権限拒否の通知が表示されることがあります。TTL 期間が経過すると、エントリは期限切れになり、古いエントリが残らないようになります。パフォーマンスの問題を回避するため、見つからないルックアップ リクエストは 1 分間の TTL で保持されます。

キャッシュ デフォルトのタイムアウト
グループ メンバー リスト 24 時間の有効期間
UNIX グループ(グループ ユーザー ID) 24 時間の有効期間、2 時間の負の有効期間
UNIX ユーザー(ユーザー ID) 24 時間の有効期間、2 時間の負の有効期間

次のステップ

Google Cloud NetApp Volumes のサービスレベルについて確認する。