Google Cloud NetApp Volumes 功能

本页面简要介绍了 Google Cloud NetApp Volumes 的特性和功能。

网络附加存储

NetApp Volumes 会将文件系统或卷共享给网络附加存储 (NAS) 客户端。NAS 客户端通常是使用行业标准网络文件系统 (NFS) 和服务器消息块 (SMB) 协议在 Windows 或 Linux 操作系统上运行的虚拟机 (VM)。

客户端-服务器模型

NFS 和 SMB 都使用客户端-服务器模型,其中客户端向服务器发送请求以对文件系统执行操作。服务器执行创建或删除文件/文件夹、修改文件以及浏览和读取文件等操作。

文件系统嵌入在可供多个客户端共享的卷中。通常,Windows、Linux 和 UNIX 操作系统包含内置的 SMB 和 NFS 客户端软件。

访问权限

所有文件系统对象都必须有所有者,但您可以向其他用户和群组授予对象的访问权限。

对于 NFS,所有权指定了用户 ID 和群组 ID,这些 ID 使用标准的 UNIX 样式用户和群组权限。NFSv4.1 可以使用用户 ID 和群组 ID 或安全正文。将 NFSv4.1 与 Kerberos 搭配使用时,Kerberos 主账号的使用会取代用户 ID 访问,从而对用户身份进行身份验证。除了标准的 UNIX 权限之外,NFSv4.1 还提供 NFSv4.1 访问控制列表,作为管理访问权限的替代方法。

对于 SMB,Windows 安全标识符用于指定所有权,并使用 NTFS 样式的访问权限控制列表来管理对对象的访问权限。

存储池

存储池充当卷的容器。存储池中的所有卷共享以下信息:

  • 位置

  • 服务等级

  • 虚拟私有云 (VPC) 网络

  • Active Directory 政策

  • NFS 卷的 LDAP 用途(如适用)

  • 客户管理的加密密钥 (CMEK) 政策

  • 可用区级或区域级资源池可用性

存储池的容量可以拆分并分配给存储池中的卷。存储池是 NetApp Volumes 的收费组件。 结算依据是位置、服务等级以及分配给池的容量,与卷级用量无关。

服务等级为“Flex”的存储池

Flex 存储池提供两种可用性和两种性能选项。

空闲状态选项

Flex 存储池提供以下两种可用性选项:

  • 可用区级池:在单个可用区内提供可用性。不过,如果整个可用区发生服务中断,则可用区池中的卷将无法访问。

  • 区域级池:可在某个区域内的两个可用区之间提供可用性。 卷会在主要可用区和副本可用区之间进行同步复制,以确保在主要可用区中断期间能够持续访问数据。如果主可用区发生故障,系统会自动故障切换到辅助可用区。您可以根据需要执行手动可用区切换,以进行故障恢复或负载平衡。

创建池后,您无法在可用区级可用性和区域级可用性之间切换。

如需详细了解 NetApp Volumes 的可用性,请参阅 Google Cloud NetApp Volumes 服务等级协议 (SLA)

效果选项

Flex 存储池提供两种性能选项:

  • 默认性能:提供由存储池容量决定的吞吐量和 IOPS。它适用于支持 Flex 服务级别的所有区域,并提供区域级和可用区级可用性选项。

  • 自定义性能:允许单独配置容量、吞吐量和 IOPS。它适用于部分区域和可用区中具有可用区可用性的 Flex 存储池。

创建池后,您无法在默认性能选项和自定义性能选项之间切换。

默认性能

Flex 的默认性能存储池在支持 Flex 服务等级的所有区域均可使用,并提供所有可用性选项。 如果可用区可用性池提供自定义性能,则只能使用 Google Cloud CLI 或 API 配置默认性能。此默认性能直接将容量与性能相关联。

Flex 默认性能存储池的吞吐量为每 GiB 池容量 16 KiBps,最高为 1.6 GiBps;IOPS 为每 TiB 池容量 1024 IOPS,最高为 60,000 IOPS。

存储池中的所有卷共享该池的性能。

如需详细了解可用区域,请参阅支持的区域

自定义性能

Flex 自定义性能适用于部分区域和可用区,并提供可用区存储池,可独立配置容量、吞吐量和 IOPS,以支持各种工作负载。这样一来,您无需预配额外容量即可满足应用所需的性能。

创建具有自定义性能的存储池时,您可以独立于指定的容量来配置吞吐量和 IOPS。无论容量大小,每个池默认都包含 64 MiBps 的吞吐量和 1024 IOPS。您可以以 1 MiBps 为增量,将任何可用区池的吞吐量提高到最高 5 GiBps。每增加 1 MiBps 的预配吞吐量,可额外获得 16 IOPS。您还可以根据需要预配额外的 IOPS,最多可预配 160,000 IOPS。您实现的有效性能上限将取决于吞吐量或 IOPS 配置,以先达到者为准。您先达到哪个限制取决于应用使用的块大小。

如需详细了解预期块大小与吞吐量和 IOPS 之间的关系,请参阅性能基准

存储池中的所有卷共享该池的性能。

自定义性能仅在部分区域受支持。如需详细了解可用区域,请参阅支持“灵活自定义效果”的区域

是存储池中的文件系统容器,用于存储应用、数据库和用户数据。

您可以使用存储池中的可用容量来创建卷的容量,并且可以定义和调整容量大小,而不会中断任何进程。

存储池设置会自动应用于其中包含的卷。

快照和基于快照的数据管理

NetApp Volumes 可帮助您使用快照功能管理数据用量。这样一来,您无需额外存储空间即可在几秒钟内拍摄数据快照。

NetApp Volumes 快照不是数据的单独物理副本。相反,NetApp Volumes 快照仅捕获自上次快照以来发生更改的数据。请注意,当您覆盖所有数据时,快照可能会占用大量卷容量。

卷复制

您可以通过跨位置卷复制来保护数据,该功能可将一个位置的源卷异步复制到另一个位置的目标卷。借助此功能,您可以在发生位置范围的服务中断或灾难时将另一个卷用于关键应用活动。

在初始转移期间,卷复制仅移动已使用的数据块。 在后续的增量转移期间,仅转移已更改的块。仅对转移的字节数收费,从而缩短转移时间并降低费用。

备份

备份是卷的副本,独立于卷存储在备份保险柜中。如果卷不可用或被删除,您可以使用备份将数据恢复到新卷。NetApp Volumes 支持手动和定期卷备份。

卷的首次备份包含该卷的所有数据。后续备份仅捕获增量更改,从而实现快速的永久增量备份,并减少备份保险库中所需的容量。

Active Directory 集成

SMB (CIFS)、具有扩展组的 NFSv3 和 NFSv4.1 等文件共享协议依赖于外部目录服务,以使用安全正文提供用户身份信息。NetApp Volumes 依赖于 Active Directory 来提供目录服务。Active Directory 提供 LDAP 服务器等服务,用于查找以下对象:

  • 用户

  • 群组

  • 机器账号

  • DNS 服务器(用于主机名解析)

  • Kerberos 服务器(用于身份验证)

数据加密

NetApp Volumes 始终使用卷专用密钥对静态数据进行加密。

借助客户管理的加密密钥 (CMEK),卷专用密钥会使用存储在 Cloud Key Management Service 中的密钥进行封装。借助此功能,您可以更好地控制所用的加密密钥,并通过将密钥存储在与数据不同的系统或位置来增加一层额外的安全性。NetApp Volumes 支持 Cloud Key Management Service 功能,例如硬件安全模块、加密密钥管理以及生成、使用、轮替和销毁的完整密钥管理生命周期。

自动分层

如果用户有大量不活跃数据,则可以使用自动分层来降低总体存储费用。自动分层功能会将不活跃的数据移至费用较低的存储层。此过程对 NFS 和 SMB 客户端是透明的,用户可以完全查看和访问数据。访问冷数据的速度比访问热数据慢。如需了解详情,请参阅管理自动分层

卷迁移

借助卷迁移功能,您可以使用基于 SnapMirror 的迁移将基于 ONTAP 的 Flex 卷迁移到 NetApp Volumes。此迁移使用基准和增量传输,以最大限度地减少将工作负载切换到 NetApp Volumes 所需的停机时间。此功能不适用于持续复制。

Active Directory LDAP 访问权限

NFS 使用情形使用 Active Directory 作为 LDAP 服务器。NetApp Volumes 需要使用 RFC2307bis 架构的身份数据。Active Directory 已提供此架构,但您需要确保为用户和群组填充所需的属性。

NetApp Volumes 通过查询以下属性与 LDAP 进行交互:

  • 用户名

  • 数值 UNIX 用户(用户 ID)

  • 群组

  • NFS 协议操作的群组成员资格

当您使用 LDAP 执行名称查找和提取扩展群组等操作时,系统会执行以下流程:

  1. NetApp Volumes 使用 LDAP 客户端配置连接到网域控制器 LDAP 服务器。系统会使用存储池的 Active Directory 政策查找 LDAP 服务器。

  2. 如果与 LDAP 服务端口的 TCP 连接成功,则 NetApp Volumes LDAP 客户端会尝试使用 Active Directory 政策中定义的凭据登录域控制器的 LDAP 服务器。

  3. NetApp Volumes 会在需要时使用 LDAP 签名。LDAP 签名需要 LDAP 服务器的 DNS PTR 记录正确无误。

  4. 在 NetApp Volumes LDAP 客户端与域控制器 LDAP 服务器之间成功进行身份验证后,NetApp Volumes LDAP 客户端会使用 RFC 2307bis LDAP 架构查询 LDAP 服务器。以下信息会通过查询传递到服务器:

    • 域名,例如 Baseuser DN

    • 搜索范围类型(子树)

    • 对象类(用户为 user、posixAccount,群组为 posixGroup)

    • UID 或用户名

    • 请求的属性(用户的 uid、uidNumber、gidNumber 或群组的 gidNumber)

  5. 如果找不到相应用户或群组,请求会失败,并且系统会拒绝授予访问权限。

  6. 如果请求成功,则会缓存用户和群组属性以供日后使用。名称查找和扩展群组提取可提高与缓存的用户或群组属性关联的后续 LDAP 查询的性能,并减少 LDAP 服务器上的负载。

属性缓存

NetApp Volumes 会缓存 LDAP 查询的结果。下表介绍了 LDAP 缓存的存留时间 (TTL) 设置。如果缓存因您打算修复的错误配置而包含无效数据,您必须等到缓存刷新后,系统才会检测到 Active Directory 中的更改。否则,NFS 服务器会继续使用旧数据来验证访问权限,这可能会导致客户端收到“权限遭拒”通知。在 TTL 期限过后,条目会过期,这样就不会有过时的条目滞留。丢失的查找请求会保留 1 分钟的 TTL,以帮助避免性能问题。

缓存 默认超时时间
群组成员资格列表 24 小时存留时间
UNIX 群组(群组用户 ID) 24 小时存留时间,2 小时负存留时间
UNIX 用户(用户 ID) 24 小时存留时间,2 小时负存留时间

后续步骤

了解 Google Cloud NetApp Volumes 的服务级别