關於支援的檔案系統通訊協定

Filestore 支援下列檔案系統通訊協定:

NFSv3

  • 適用於所有服務層級。
  • 支援用戶端與伺服器之間的雙向通訊。
    • 使用多個通訊埠。
    • 為網路流量和作業建立信任管道。
  • 提供標準 POSIX 存取權的快速設定。

NFSv4.1

  • 適用於可用區、區域和企業服務層級
  • Filestore CSI 驅動程式支援建立區域或企業執行個體,並以 NFSv4.1 語意掛接這些執行個體。
  • 可與現代防火牆設定相容,並支援網路安全法規遵循要求。
    • 通訊一律由用戶端發起,並一律透過單一伺服器連接埠 2049 提供服務。
    • 支援用戶端和伺服器驗證。

每種通訊協定最適合的用途都不盡相同。下表比較各通訊協定的規格:

規格 NFSv3 NFSv4.1
支援的服務層級 所有服務層級 可用區、區域和企業
雙向通訊 否。通訊一律由用戶端使用伺服器通訊埠 2049 發起。
驗證 可以。需要 RPCSEC_GSS 驗證,並使用 LDAPKerberos 實作,兩者皆可在 Managed Service for Microsoft Active Directory 中使用。
支援檔案或目錄存取控制清單 (ACL) 可以。每個清單最多支援 50 個存取控制項目 (ACE)。
群組支援 最多 16 個群組 連結至代管的 Microsoft AD 時,支援的群組數量不限。
安全性設定 sys. 建立信任管道。 sys. 建立信任管道。跳到 krb5 的位置。驗證用戶端和伺服器。krb5i。提供驗證和郵件完整性檢查。krb5p。提供驗證、訊息完整性檢查和傳輸中資料加密功能。
作業延遲 選取的安全等級越高,作業延遲時間就越長。
復原類型 無狀態 有狀態
檔案鎖定類型 網路鎖定管理員 (NLM)。鎖定是由用戶端控制。 以租約為準的諮詢鎖定。鎖定狀態由伺服器控制。
支援用戶端故障
支援私人服務存取權
支援 Private Service Connect (已加入許可清單的正式發布版)

NFSv3 的優點

NFSv3 通訊協定可快速設定標準 POSIX 存取權。

NFSv3 限制

以下列出 NFSv3 的限制:

  • 缺少用戶端和伺服器驗證與加密機制。
  • 缺少用戶端失敗處理機制。

NFSv4.1 的優點

NFSv4.1 通訊協定使用 RPCSEC_GSS 驗證方法,透過 LDAPKerberos 實作,提供用戶端和伺服器驗證、訊息完整性檢查,以及傳輸中資料加密功能。

這些安全防護功能可讓 NFSv4.1 通訊協定符合現代網路安全法規要求:

  • 所有通訊都使用單一伺服器通訊埠 2049,有助於簡化防火牆設定。

  • 支援 NFSv4.1 檔案存取控制清單 (ACL)。

    • 每個 ACL 最多可支援每個檔案或目錄 50 個存取控制項目 (ACE)。包括繼承記錄。

  • 使用 Managed Microsoft AD 整合時,支援的群組數量沒有限制。

  • 支援以租約為基礎的諮詢鎖定,可更妥善處理用戶端故障。

    • 用戶端必須驗證與伺服器的連線是否持續。如果用戶端未續租,伺服器會釋放鎖定,其他用戶端即可透過鎖定租約要求存取檔案。在 NFSv3 中,如果用戶端在鎖定狀態下遭到刪除,其他用戶端 (例如新的 GKE 節點) 就無法存取該檔案。

  • 支援有狀態復原。

    • 與 NFSv3 不同,NFSv4.1 是以 TCP 和連線為基礎的有狀態通訊協定。復原後,即可繼續執行上一個工作階段的用戶端和伺服器狀態。

Managed Service for Microsoft Active Directory

雖然Managed Service for Microsoft Active Directory (Managed Microsoft AD) 並非必要條件,但這是唯一支援 LDAP 和 Kerberos 的 Google Cloud管理解決方案,而這兩者都是 Filestore NFSv4.1 通訊協定的必要條件。

強烈建議管理員使用 Managed Service for Microsoft Active Directory (Managed Microsoft AD),實作及管理 LDAP 和 Kerberos。

Managed Microsoft AD 是 Google Cloud代管解決方案,可提供下列優點:

  • 提供多區域部署功能,在同一個網域中最多可支援五個區域。

    • 確保使用者和各自的登入伺服器距離較近,以減少延遲。

  • 支援 POSIX RFC 2307RFC 2307bis,符合 NFSv4.1 實作需求。

  • 自動建立專屬 ID (UID) 和全域專屬 ID (GUID) 使用者對應。

  • 您可以在受管理 Microsoft AD 中建立使用者和群組,也可以將其遷移至受管理 Microsoft AD。

  • 管理員可以與目前的內部部署、自行管理的 Active Directory (AD) 和 LDAP 網域建立網域信任關係。使用這個選項時, 不需要遷移資料。

  • 提供服務水準協議。

存取權控管和其他行為

  • 在 Linux 上,可以使用下列指令管理 Filestore NFSv4.1 ACE:

  • 每個 ACL 最多可支援 50 個 ACE。系統會保留六個項目,供用戶端 chmod 作業建立自動產生的 ACE。建立後可以修改這些 ACE。

    系統會自動產生代表模式位元的 ACE 記錄,並依下列優先順序排列:

    • DENY and ALLOW ACEsOWNER@
    • DENY and ALLOW ACEsGROUP@

    • EVERYONE@ 專用的「DENY and ALLOW ACEs

      如果已有這類 ACE,系統會根據新套用的模式位元重複使用並修改這些 ACE。

  • Filestore NFSv4.1 僅支援在 POSIX 模式 RWX (讀取、寫入和執行) 中檢查必要存取權。系統不會區分修改內容或 SETATTR 規格的 write appendwrite 作業。nfs4_setfacl 公用程式也接受 RWX 做為捷徑,並自動開啟所有適當的標記。

  • nfs4_getfacl 本身不會翻譯主體,nfs4_getfacl公用程式會顯示主體的數值 UIDGUID。因此,系統會顯示 OWNER@GROUP@EVERYONE@ 的特殊主體。

  • 無論是否使用 Managed Microsoft AD,管理員都必須使用 AUTH-SYSnfs4_setfacl 公用程式,並指定數值 UIDGUID,而非使用者名稱。這項公用程式無法將名稱轉換為這些值。如果未正確提供,Filestore 執行個體會預設為 nobody ID。

  • 為檔案指定寫入權限時,或甚至為受繼承 ACE 影響的檔案指定寫入權限時,ACE 必須同時包含 w (寫入) 和 a (附加) 旗標。

  • 檢查 SETATTR 的權限時,傳回的回應類似於 POSIX,如下所示:

    • 超級使用者或 ROOT 使用者可以執行任何操作。
    • 只有檔案擁有者可以將模式位元、ACL 和時間戳記設定為特定時間和群組,例如檔案所屬的其中一個 GUID
    • 檔案擁有者以外的使用者可以查看屬性,包括 ACL。

  • 單一 ACE 包含有效權限和僅限繼承的權限。與其他 NFSv4.1 實作方式不同,Filestore 不會自動複製繼承的 ACE,以區分有效和僅限繼承的 ACE。

NFSv4.1 限制

以下列出 NFSv4.1 的限制:

  • NFSv4.1 通訊協定無法與 Filestore multishares for GKE 搭配使用。

  • NFSv4.1 通訊協定不支援 AUDIT and ALARM ACEs。Filestore 不支援資料存取稽核。

  • 設定完成後,請勿刪除受管理 Microsoft AD 和網路對等互連。這麼做會導致 Filestore 共用區在掛接至用戶端時無法存取,進而導致資料無法存取。 Google Cloud 不會對管理員或使用者行為造成的服務中斷負責。

  • 使用任何經過驗證的 Kerberos 安全性設定時,使用者可能會遇到一些作業延遲。延遲率會因服務層級和指定的安全性設定而異。安全等級越高,延遲時間就越長。

  • 不支援資料存取稽核。

  • Filestore NFSv4.1 解決方案使用 RPCSEC_GSS 驗證,並透過 LDAPKerberos 實作,這兩者都可在 Managed Microsoft AD 中使用。與 NFSv3 類似,Filestore NFSv4.1 也可以在不使用任何驗證機制的情況下運作。系統不支援其他驗證機制。

  • 如要透過 Shared VPC 將 Filestore 執行個體加入 Managed Microsoft AD,請使用 gcloud 或 Filestore API。您無法使用Google Cloud 控制台將執行個體加入 Managed Microsoft AD。

  • 受管理 Microsoft AD 網域名稱不得超過 56 個字元。

  • 如要建立企業執行個體,必須直接透過 Filestore API 執行作業。詳情請參閱「服務級別」。

  • 還原備份時,新執行個體必須使用與來源執行個體相同的通訊協定。

後續步驟