Filestore unterstützt die folgenden Dateisystemprotokolle:
NFSv3
- In allen Dienststufen verfügbar.
- Unterstützt die bidirektionale Kommunikation zwischen Client und Server.
- Verwendet mehrere Ports.
- Erstellt einen Vertrauenskanal für Netzwerkverkehr und -funktionen.
- Bietet eine schnelle Einrichtung für den standardmäßigen POSIX-Zugriff.
NFSv4.1
- Verfügbar in zonalen, regionalen und Dienststufen für Unternehmen.
- Kompatibel mit modernen Firewallkonfigurationen und unterstützt die Netzwerksicherheit
Compliance-Anforderungen.
- Die Kommunikation wird immer vom Client initiiert und durch
einen einzelnen Serverport,
2049
. - Unterstützt Client- und Serverauthentifizierung.
- Erfordert die RPCSEC_GSS-Authentifizierung, die mit LDAP und Kerberos implementiert wird. Beide sind im Managed Service for Microsoft Active Directory verfügbar.
- Unterstützt LDAP und Kerberos für die Authentifizierung (
krb5
), Nachrichten Integritätsprüfungen (krb5i
) und Verschlüsselung von Daten während der Übertragung (krb5p
). - Bietet Unterstützung für NFSv4.1-Datei-ACLs für den Client und den Server.
- Die Kommunikation wird immer vom Client initiiert und durch
einen einzelnen Serverport,
Jedes Protokoll ist für bestimmte Anwendungsfälle am besten geeignet. In der folgenden Tabelle werden die die Spezifikationen der einzelnen Protokolle:
Spezifikation | NFSv3 | NFSv4.1 |
---|---|---|
Unterstützte Dienststufen | Alle Dienststufen | Zonal, regional und Enterprise |
Bidirektionale Kommunikation | Ja | Nein. Die Kommunikation wird immer vom Client über den Serverport 2049 initiiert. |
Authentifizierung | Nein | Ja. Erfordert die RPCSEC_GSS-Authentifizierung, die mithilfe von LDAP und Kerberos implementiert wird. Beide sind in Managed Service for Microsoft Active Directory verfügbar. |
Unterstützt Access Control Lists (ACLs) für Dateien oder Verzeichnisse | Nein | Ja. Unterstützt bis zu 50 Zugriffssteuerungseinträge pro Liste. |
Unterstützung für Google Groups | Bis zu 16 Gruppen | Unbegrenzte Gruppenunterstützung bei Verbindung mit Managed Microsoft AD. |
Sicherheitseinstellung | sys Erstellt einen vertrauenswürdigen Kanal. |
sys . Erstellt einen Vertrauenskanal. krb5 . Authentifiziert den Client und den Server. krb5i . Bietet Authentifizierungs- und Nachrichtenintegritätsprüfungen.krb5p . Bietet Authentifizierung, Prüfung der Nachrichtenintegrität und Verschlüsselung von Daten während der Übertragung. |
Vorgangslatenz | Keine | Die Latenz von Vorgängen erhöht sich mit der ausgewählten Sicherheitsstufe. |
Wiederherstellungstyp | Zustandslos | Zustandsorientiert |
Art der Dateisperrung | Network Lock Manager (NLM) ein. Die Sperre wird vom Client gesteuert. | Leasingbasierte Beratungssperrung. Die Sperre wird vom Server gesteuert. |
Unterstützt Clientausfälle | Nein | Ja |
Unterstützt Private Service Connect (PSC) | Nein | Nein |
Vorteile von NFSv3
Das NFSv3-Protokoll ermöglicht eine schnelle Einrichtung für den Standard-POSIX-Zugriff.
Einschränkungen für NFSv3
Im Folgenden finden Sie eine Liste der Einschränkungen für NFSv3:
- Private Services Connection (PSC) werden nicht unterstützt.
- Client- und Serverauthentifizierung und -verschlüsselung fehlen.
- Es gibt keine Fehlerbehandlung für Clients.
Vorteile von NFSv4.1
Das NFSv4.1-Protokoll verwendet die RPCSEC_GSS-Authentifizierung, die mit LDAP und Kerberos implementiert wird, um Client- und Serverauthentifizierung, Nachrichtenintegritätsprüfungen und die Verschlüsselung von Daten während der Übertragung bereitzustellen.
Diese Sicherheitsfunktionen machen das NFSv4.1-Protokoll mit modernen Compliance-Anforderungen an die Netzwerksicherheit kompatibel:
Zur Vereinfachung der gesamten Kommunikation wird nur der Serverport
2049
verwendet. Firewall-Konfigurationen.NFSv4.1-Dateizugriffssteuerungslisten (ACLs) werden unterstützt.
- Jede ACL unterstützt bis zu 50 Zugriffskontrolleinträge (Access Control Lists, ACEs) pro Datei oder -Verzeichnis. Dazu gehören auch Inventarlisten.
Unterstützung für unbegrenzte Gruppen bei Verwendung der Managed Microsoft AD-Integration.
Bessere Fehlerbehandlung bei Clients durch leasebasierte richtlinienbasierte Sperrung
- Der Client muss die fortlaufende Verbindung mit dem Server überprüfen. Wenn der Kunde Erneuert die Lease nicht, gibt der Server die Sperre frei und die Datei wird für jeden anderen Client verfügbar, der Zugriff über eine Sperrfreigabe anfordert. Wenn in NFSv3 ein Client gelöscht wird, während er gesperrt ist, kann kein anderer Client, z. B. ein neuer GKE-Knoten, auf die Datei zugreifen.
Unterstützt die zustandsorientierte Wiederherstellung.
- Im Gegensatz zu NFSv3 ist NFSv4.1 ein TCP- und verbindungsbasiertes zustandsorientiertes Protokoll. Der Status des Clients und des Servers in der vorherigen Sitzung kann fortgesetzt werden nach der Wiederherstellung.
Managed Service for Microsoft Active Directory
Während Managed Service for Microsoft Active Directory (Managed Microsoft AD) keine strenge Anforderung, sondern ist die einzige von Google Cloud verwaltete Lösung, unterstützen sowohl LDAP als auch Kerberos. Filestore-NFSv4.1-Protokoll.
Administratoren wird dringend empfohlen, Managed Service for Microsoft Active Directory (Managed Microsoft AD) zur Implementierung und Verwaltung von LDAP und Kerberos.
Als von Google Cloud verwaltete Lösung bietet Managed Microsoft AD folgende Vorteile:
Bietet eine Bereitstellung in mehreren Regionen mit Unterstützung für bis zu fünf Regionen in derselben Domain.
- Verringert die Latenz, da Nutzer und ihre jeweiligen Anmeldeserver näher beieinander sind.
Unterstützt POSIX RFC 2307 und RFC 2307bis Anforderungen für die NFSv4.1-Implementierung.
Automatisiert die Nutzerzuordnung für eindeutige Kennungen (UID) und global eindeutige Kennungen (GUID).
Nutzer und Gruppen können in Managed Microsoft AD erstellt oder dorthin migriert werden.
Administratoren können mit der aktuellen lokalen, selbstverwaltete, Active Directory (AD)- und LDAP-Domain. Bei dieser Option Migration ist nicht notwendig.
Stellt ein SLA bereit.
Zugriffssteuerung und weitere Verhaltensweisen
Filestore-NFSv4.1-ACEs werden unter Linux mit folgendem Befehl verwaltet: Befehle:
nfs4_setfacl
: Erstellen oder AdWords-Kampagnentests in einer Datei oder einem Verzeichnis bearbeitennfs4_getfacl
: Listet die ACEs für eine Datei oder ein Verzeichnis auf.
Jede ACL unterstützt bis zu 50 ACEs. Sechs Einträge sind für automatisch generierte Von
chmod
-Vorgängen des Clients erstellte AdWords-Kampagnentests. Diese ACEs können geändert werden nach dem Erstellung.Die automatisch generierten ACE-Einträge, die die Modusbits darstellen, sind in der folgenden Prioritätsreihenfolge aufgeführt:
DENY and ALLOW ACEs
fürOWNER@
DENY and ALLOW ACEs
fürGROUP@
DENY and ALLOW ACEs
fürEVERYONE@
Falls solche ACEs bereits vorhanden sind, werden sie wiederverwendet und geändert. gemäß den Bits des neuen angewendeten Modus.
Filestore NFSv4.1 unterstützt die Prüfung des erforderlichen Zugriffs nur in POSIX-Modus
RWX
(Lesen, Schreiben und Ausführen). Es wird nicht zwischenwrite append
- undwrite
-Vorgänge, die den Inhalt oderSETATTR
ändern Spezifikation zu ändern. Das Dienstprogrammnfs4_setfacl
akzeptiert auchRWX
als Verknüpfung und aktiviert automatisch alle entsprechenden Markierungen.Das
nfs4_getfacl
-Element übersetzt selbst keine Übersetzung des Hauptkontos. Die Das Dienstprogrammnfs4_getfacl
zeigt die numerischen WerteUID
undGUID
für die Hauptkonten. Daher werden die speziellen Hauptkonten vonOWNER@
,GROUP@
undEVERYONE@
angezeigt.Unabhängig davon, ob Sie Managed Microsoft AD verwenden,
AUTH-SYS
und dasnfs4_setfacl
-Dienstprogramm verwenden, müssen Administratoren das die numerischenUID
undGUID
, nicht die Nutzernamen. Dieses Dienstprogramm kann in diese Werte zu übersetzen. Wenn die Angaben nicht korrekt sind, Die Filestore-Instanz verwendet standardmäßig die IDnobody
.Wenn Sie Schreibberechtigungen für eine Datei oder für Dateien angeben, die von einer übergeordneten ACE betroffen sind, muss die ACE sowohl die Flags
w
(Schreiben) als aucha
(Anhängen) enthalten.Beim Prüfen der Berechtigungen für
SETATTR
sieht die zurückgegebene Antwort in etwa so aus:POSIX
auf folgende Weise:- Der Superuser oder
ROOT
-Nutzer hat alle Berechtigungen. - Nur der Eigentümer der Datei kann die Bits für den Dateimodus, die ACLs und die Zeitstempel auf eine bestimmte Zeit und Gruppe festlegen, z. B. auf eine der
GUID
s, zu denen sie gehört. - Andere Nutzer als der Dateieigentümer können die Attribute, einschließlich der ACL, ansehen.
- Der Superuser oder
Ein einzelner ACE umfasst sowohl wirksame als auch nur für die Übernahme geltende Berechtigungen. Entgegengesetzt anderen NFSv4.1-Implementierungen entsprechen, wird Filestore nicht automatisch übernommene AdWords-Kampagnentests replizieren, um zwischen effektiven und erben nur ACEs.
Einschränkungen von NFSv4.1
Die folgende Liste enthält Einschränkungen für NFSv4.1:
Das NFSv4.1-Protokoll kann nicht mit den folgenden Funktionen kombiniert werden:
AUDIT and ALARM ACEs
wird vom NFSv4.1-Protokoll nicht unterstützt. Filestore unterstützt keine Datenzugriffsprüfung.Löschen Sie Managed Microsoft AD und Netzwerk-Peering nach der Konfiguration nicht. Dadurch ist die Filestore-Freigabe nicht zugänglich, während sie auf einem Client bereitgestellt wird, und Ihre Daten sind nicht zugänglich. Google Cloud ist nicht haftbar für Ausfälle, die durch Administrator- oder Nutzeraktionen verursacht wurden.
Bei Verwendung einer der authentifizierten Kerberos-Sicherheitseinstellungen kann es zu einer gewissen Latenz bei den Vorgängen kommen. Die Latenzraten variieren je nach Dienstebene und angegebener Sicherheitseinstellung. Die Latenz nimmt mit jeder Erhöhung der Sicherheit zu
Die Prüfung des Datenzugriffs wird nicht unterstützt.
Die Filestore-Lösung NFSv4.1 erfordert eine RPCSEC_GSS-Authentifizierung. Diese Authentifizierungsmethode wird nur mit LDAP implementiert. und Kerberos in Managed Microsoft AD. Andere Authentifizierungsmechanismen werden nicht unterstützt.
Private Services Connection (PSC) werden nicht unterstützt.
Wenn Sie möchten, dass eine Filestore-Instanz Managed Microsoft AD hinzugefügt wird über eine freigegebene VPC verwenden möchten, müssen Sie
gcloud
oder Filestore verwenden der API erstellen. Sie können die Instanz nicht über die Methode Google Cloud ConsoleDer Managed Microsoft AD-Domainname darf nicht länger als 56 Zeichen sein.
Zum Erstellen einer Unternehmensinstanz müssen Sie Vorgänge ausführen direkt über die Filestore API. Weitere Informationen finden Sie unter Dienststufen.
Beim Wiederherstellen einer Sicherung muss die neue Instanz dasselbe Protokoll wie der Quellinstanz.