Unterstützte Dateisystemprotokolle

Filestore unterstützt die folgenden Dateisystemprotokolle:

NFSv3

• In allen Dienststufen verfügbar.
• Unterstützt die bidirektionale Kommunikation zwischen Client und Server.
  • Verwendet mehrere Ports.
  • Erstellt einen Vertrauenskanal für Netzwerkverkehr und -funktionen.
• Bietet eine schnelle Einrichtung für den standardmäßigen POSIX-Zugriff.

NFSv4.1

• Verfügbar in zonalen, regionalen und Dienststufen für Unternehmen.
• Kompatibel mit modernen Firewallkonfigurationen und unterstützt die Netzwerksicherheit Compliance-Anforderungen.
  • Die Kommunikation wird immer vom Client initiiert und durch einen einzelnen Serverport, 2049.
  • Unterstützt Client- und Serverauthentifizierung.
    • Erfordert die RPCSEC_GSS-Authentifizierung, die mit LDAP und Kerberos implementiert wird. Beide sind im Managed Service for Microsoft Active Directory verfügbar.
    • Unterstützt LDAP und Kerberos für die Authentifizierung (krb5), Nachrichten Integritätsprüfungen (krb5i) und Verschlüsselung von Daten während der Übertragung (krb5p).
    • Bietet Unterstützung für NFSv4.1-Datei-ACLs für den Client und den Server.

Jedes Protokoll ist für bestimmte Anwendungsfälle am besten geeignet. In der folgenden Tabelle werden die die Spezifikationen der einzelnen Protokolle:

Spezifikation	NFSv3	NFSv4.1
Unterstützte Dienststufen	Alle Dienststufen	Zonal, regional und Enterprise
Bidirektionale Kommunikation	Ja	Nein. Die Kommunikation wird immer vom Client über den Serverport 2049 initiiert.
Authentifizierung	Nein	Ja. Erfordert die RPCSEC_GSS-Authentifizierung, die mithilfe von LDAP und Kerberos implementiert wird. Beide sind in Managed Service for Microsoft Active Directory verfügbar.
Unterstützt Access Control Lists (ACLs) für Dateien oder Verzeichnisse	Nein	Ja. Unterstützt bis zu 50 Zugriffssteuerungseinträge pro Liste.
Unterstützung für Google Groups	Bis zu 16 Gruppen	Unbegrenzte Gruppenunterstützung bei Verbindung mit Managed Microsoft AD.
Sicherheitseinstellung	sys Erstellt einen vertrauenswürdigen Kanal.	sys. Erstellt einen Vertrauenskanal. krb5. Authentifiziert den Client und den Server. krb5i. Bietet Authentifizierungs- und Nachrichtenintegritätsprüfungen.krb5p. Bietet Authentifizierung, Prüfung der Nachrichtenintegrität und Verschlüsselung von Daten während der Übertragung.
Vorgangslatenz	Keine	Die Latenz von Vorgängen erhöht sich mit der ausgewählten Sicherheitsstufe.
Wiederherstellungstyp	Zustandslos	Zustandsorientiert
Art der Dateisperrung	Network Lock Manager (NLM) ein. Die Sperre wird vom Client gesteuert.	Leasingbasierte Beratungssperrung. Die Sperre wird vom Server gesteuert.
Unterstützt Clientausfälle	Nein	Ja
Unterstützt Private Service Connect (PSC)	Nein	Nein

Vorteile von NFSv3

Das NFSv3-Protokoll ermöglicht eine schnelle Einrichtung für den Standard-POSIX-Zugriff.

Einschränkungen für NFSv3

Im Folgenden finden Sie eine Liste der Einschränkungen für NFSv3:

• Private Services Connection (PSC) werden nicht unterstützt.
• Client- und Serverauthentifizierung und -verschlüsselung fehlen.
• Es gibt keine Fehlerbehandlung für Clients.

Vorteile von NFSv4.1

Das NFSv4.1-Protokoll verwendet die RPCSEC_GSS-Authentifizierung, die mit LDAP und Kerberos implementiert wird, um Client- und Serverauthentifizierung, Nachrichtenintegritätsprüfungen und die Verschlüsselung von Daten während der Übertragung bereitzustellen.

Diese Sicherheitsfunktionen machen das NFSv4.1-Protokoll mit modernen Compliance-Anforderungen an die Netzwerksicherheit kompatibel:

• Zur Vereinfachung der gesamten Kommunikation wird nur der Serverport 2049 verwendet. Firewall-Konfigurationen.

• NFSv4.1-Dateizugriffssteuerungslisten (ACLs) werden unterstützt.

  • Jede ACL unterstützt bis zu 50 Zugriffskontrolleinträge (Access Control Lists, ACEs) pro Datei oder -Verzeichnis. Dazu gehören auch Inventarlisten.

• Unterstützung für unbegrenzte Gruppen bei Verwendung der Managed Microsoft AD-Integration.

• Bessere Fehlerbehandlung bei Clients durch leasebasierte richtlinienbasierte Sperrung

  • Der Client muss die fortlaufende Verbindung mit dem Server überprüfen. Wenn der Kunde Erneuert die Lease nicht, gibt der Server die Sperre frei und die Datei wird für jeden anderen Client verfügbar, der Zugriff über eine Sperrfreigabe anfordert. Wenn in NFSv3 ein Client gelöscht wird, während er gesperrt ist, kann kein anderer Client, z. B. ein neuer GKE-Knoten, auf die Datei zugreifen.

• Unterstützt die zustandsorientierte Wiederherstellung.

  • Im Gegensatz zu NFSv3 ist NFSv4.1 ein TCP- und verbindungsbasiertes zustandsorientiertes Protokoll. Der Status des Clients und des Servers in der vorherigen Sitzung kann fortgesetzt werden nach der Wiederherstellung.

Managed Service for Microsoft Active Directory

Während Managed Service for Microsoft Active Directory (Managed Microsoft AD) keine strenge Anforderung, sondern ist die einzige von Google Cloud verwaltete Lösung, unterstützen sowohl LDAP als auch Kerberos. Filestore-NFSv4.1-Protokoll.

Administratoren wird dringend empfohlen, Managed Service for Microsoft Active Directory (Managed Microsoft AD) zur Implementierung und Verwaltung von LDAP und Kerberos.

Als von Google Cloud verwaltete Lösung bietet Managed Microsoft AD folgende Vorteile:

• Bietet eine Bereitstellung in mehreren Regionen mit Unterstützung für bis zu fünf Regionen in derselben Domain.

  • Verringert die Latenz, da Nutzer und ihre jeweiligen Anmeldeserver näher beieinander sind.

• Unterstützt POSIX RFC 2307 und RFC 2307bis Anforderungen für die NFSv4.1-Implementierung.

• Automatisiert die Nutzerzuordnung für eindeutige Kennungen (UID) und global eindeutige Kennungen (GUID).

• Nutzer und Gruppen können in Managed Microsoft AD erstellt oder dorthin migriert werden.

• Administratoren können mit der aktuellen lokalen, selbstverwaltete, Active Directory (AD)- und LDAP-Domain. Bei dieser Option Migration ist nicht notwendig.

• Stellt ein SLA bereit.

Zugriffssteuerung und weitere Verhaltensweisen

• Filestore-NFSv4.1-ACEs werden unter Linux mit folgendem Befehl verwaltet: Befehle:

  • nfs4_setfacl: Erstellen oder AdWords-Kampagnentests in einer Datei oder einem Verzeichnis bearbeiten
  • nfs4_getfacl: Listet die ACEs für eine Datei oder ein Verzeichnis auf.

• Jede ACL unterstützt bis zu 50 ACEs. Sechs Einträge sind für automatisch generierte Von chmod-Vorgängen des Clients erstellte AdWords-Kampagnentests. Diese ACEs können geändert werden nach dem Erstellung.

  Die automatisch generierten ACE-Einträge, die die Modusbits darstellen, sind in der folgenden Prioritätsreihenfolge aufgeführt:

  • DENY and ALLOW ACEs für OWNER@
  • DENY and ALLOW ACEs für GROUP@

  • DENY and ALLOW ACEs für EVERYONE@

    Falls solche ACEs bereits vorhanden sind, werden sie wiederverwendet und geändert. gemäß den Bits des neuen angewendeten Modus.

• Filestore NFSv4.1 unterstützt die Prüfung des erforderlichen Zugriffs nur in POSIX-Modus RWX (Lesen, Schreiben und Ausführen). Es wird nicht zwischen write append- und write-Vorgänge, die den Inhalt oder SETATTR ändern Spezifikation zu ändern. Das Dienstprogramm nfs4_setfacl akzeptiert auch RWX als Verknüpfung und aktiviert automatisch alle entsprechenden Markierungen.

• Das nfs4_getfacl-Element übersetzt selbst keine Übersetzung des Hauptkontos. Die Das Dienstprogramm nfs4_getfacl zeigt die numerischen Werte UID und GUID für die Hauptkonten. Daher werden die speziellen Hauptkonten von OWNER@, GROUP@ und EVERYONE@ angezeigt.

• Unabhängig davon, ob Sie Managed Microsoft AD verwenden, AUTH-SYS und das nfs4_setfacl-Dienstprogramm verwenden, müssen Administratoren das die numerischen UID und GUID, nicht die Nutzernamen. Dieses Dienstprogramm kann in diese Werte zu übersetzen. Wenn die Angaben nicht korrekt sind, Die Filestore-Instanz verwendet standardmäßig die ID nobody.

• Wenn Sie Schreibberechtigungen für eine Datei oder für Dateien angeben, die von einer übergeordneten ACE betroffen sind, muss die ACE sowohl die Flags w (Schreiben) als auch a (Anhängen) enthalten.

• Beim Prüfen der Berechtigungen für SETATTR sieht die zurückgegebene Antwort in etwa so aus: POSIX auf folgende Weise:

  • Der Superuser oder ROOT-Nutzer hat alle Berechtigungen.
  • Nur der Eigentümer der Datei kann die Bits für den Dateimodus, die ACLs und die Zeitstempel auf eine bestimmte Zeit und Gruppe festlegen, z. B. auf eine der GUIDs, zu denen sie gehört.
  • Andere Nutzer als der Dateieigentümer können die Attribute, einschließlich der ACL, ansehen.

• Ein einzelner ACE umfasst sowohl wirksame als auch nur für die Übernahme geltende Berechtigungen. Entgegengesetzt anderen NFSv4.1-Implementierungen entsprechen, wird Filestore nicht automatisch übernommene AdWords-Kampagnentests replizieren, um zwischen effektiven und erben nur ACEs.

Einschränkungen von NFSv4.1

Die folgende Liste enthält Einschränkungen für NFSv4.1:

• Das NFSv4.1-Protokoll kann nicht mit den folgenden Funktionen kombiniert werden:

  • Filestore GKE CSI-Treiber
  • Filestore-Mehrfachfreigaben für GKE

• AUDIT and ALARM ACEs wird vom NFSv4.1-Protokoll nicht unterstützt. Filestore unterstützt keine Datenzugriffsprüfung.

• Löschen Sie Managed Microsoft AD und Netzwerk-Peering nach der Konfiguration nicht. Dadurch ist die Filestore-Freigabe nicht zugänglich, während sie auf einem Client bereitgestellt wird, und Ihre Daten sind nicht zugänglich. Google Cloud ist nicht haftbar für Ausfälle, die durch Administrator- oder Nutzeraktionen verursacht wurden.

• Bei Verwendung einer der authentifizierten Kerberos-Sicherheitseinstellungen kann es zu einer gewissen Latenz bei den Vorgängen kommen. Die Latenzraten variieren je nach Dienstebene und angegebener Sicherheitseinstellung. Die Latenz nimmt mit jeder Erhöhung der Sicherheit zu

• Die Prüfung des Datenzugriffs wird nicht unterstützt.

• Die Filestore-Lösung NFSv4.1 erfordert eine RPCSEC_GSS-Authentifizierung. Diese Authentifizierungsmethode wird nur mit LDAP implementiert. und Kerberos in Managed Microsoft AD. Andere Authentifizierungsmechanismen werden nicht unterstützt.

• Private Services Connection (PSC) werden nicht unterstützt.

• Wenn Sie möchten, dass eine Filestore-Instanz Managed Microsoft AD hinzugefügt wird über eine freigegebene VPC verwenden möchten, müssen Sie gcloud oder Filestore verwenden der API erstellen. Sie können die Instanz nicht über die Methode Google Cloud Console

• Der Managed Microsoft AD-Domainname darf nicht länger als 56 Zeichen sein.

• Zum Erstellen einer Unternehmensinstanz müssen Sie Vorgänge ausführen direkt über die Filestore API. Weitere Informationen finden Sie unter Dienststufen.

• Beim Wiederherstellen einer Sicherung muss die neue Instanz dasselbe Protokoll wie der Quellinstanz.

Nächste Schritte

• NFSv4.1-Protokoll konfigurieren