Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Tentang protokol sistem file yang didukung

Filestore mendukung protokol sistem file berikut:

NFSv3

Tersedia di semua tingkat layanan.
Mendukung komunikasi dua arah antara klien dan server.
- Menggunakan beberapa port.
- Membuat saluran kepercayaan untuk traffic jaringan dan operasi.
Menawarkan penyiapan cepat untuk akses POSIX standar.

NFSv4.1

Tersedia di tingkat layanan zonal, regional, dan perusahaan.
Didukung oleh driver CSI Filestore untuk membuat instance zonal atau perusahaan dan memasangnya dengan semantik NFSv4.1.
Kompatibel dengan konfigurasi firewall modern dan mendukung persyaratan kepatuhan keamanan jaringan.
- Komunikasi selalu dimulai oleh klien dan selalu ditayangkan melalui satu port server, 2049.
- Mendukung autentikasi klien dan server.
  - Memerlukan Autentikasi RPCSEC_GSS yang diimplementasikan menggunakan LDAP dan Kerberos, yang keduanya tersedia di Layanan Terkelola untuk Microsoft Active Directory.
  - Mendukung LDAP dan Kerberos untuk autentikasi (krb5), pemeriksaan integritas pesan (krb5i), dan enkripsi data saat transit (krb5p).
  - Menawarkan dukungan ACL file NFSv4.1 untuk klien dan server.

Setiap protokol paling cocok untuk kasus penggunaan tertentu. Tabel berikut membandingkan spesifikasi setiap protokol:

Spesifikasi	NFSv3	NFSv4.1
Tingkat layanan yang didukung	Semua tingkat layanan	Zonal, regional, dan perusahaan
Komunikasi dua arah	Ya	Tidak. Komunikasi selalu dimulai oleh klien menggunakan port server `2049`.
Autentikasi	Tidak	Ya. Memerlukan Autentikasi RPCSEC_GSS, yang diimplementasikan menggunakan LDAP dan Kerberos, yang keduanya tersedia di Layanan Terkelola untuk Microsoft Active Directory.
Mendukung Daftar Kontrol Akses (ACL) file atau direktori	Tidak	Ya. Mendukung hingga 50 Entri Kontrol Akses (ACE) per daftar.
Dukungan grup	Hingga 16 grup	Dukungan grup tanpa batas saat terhubung ke Microsoft AD Terkelola.
Setelan keamanan	`sys`. Membuat saluran kepercayaan.	`sys`. Membuat saluran kepercayaan. `krb5`. Mengautentikasi klien dan server. `krb5i`. Menyediakan autentikasi dan pemeriksaan integritas pesan.`krb5p`. Menyediakan autentikasi, pemeriksaan integritas pesan, dan enkripsi data saat transit.
Latensi operasi	Tidak ada	Latensi operasi meningkat seiring dengan tingkat keamanan yang dipilih.
Jenis pemulihan	Stateless	Stateful
Jenis penguncian file	Network Lock Manager (NLM). Penguncian dikontrol oleh klien.	Penguncian saran berbasis sewa. Penguncian dikontrol oleh server.
Mendukung kegagalan klien	Tidak	Ya
Mendukung akses layanan pribadi	Ya	Ya
Mendukung Private Service Connect (GA Terbatas) dengan protokol IPv4 dan IPv6	Ya	Ya

Manfaat NFSv3

Protokol NFSv3 menawarkan penyiapan cepat untuk akses POSIX standar.

Batasan NFSv3

Berikut adalah daftar batasan NFSv3:

Tidak memiliki autentikasi dan enkripsi klien dan server.
Tidak memiliki penanganan kegagalan klien.

Untuk instance NFSv3 yang menggunakan Private Service Connect, penguncian file NFS tunduk pada batasan berikut:

Klien yang menunggu penguncian pemblokiran tidak akan menerima notifikasi saat penguncian tersedia.
Penguncian pada klien yang di-reboot akan otomatis dihapus hanya setelah mendeteksi aktivitas NLM berikutnya dari klien ini.

Manfaat NFSv4.1

Protokol NFSv4.1 menggunakan metode Autentikasi RPCSEC_GSS, yang diimplementasikan menggunakan LDAP dan Kerberos untuk menyediakan autentikasi klien dan server, pemeriksaan integritas pesan, dan enkripsi data saat transit.

Kemampuan keamanan ini membuat protokol NFSv4.1 kompatibel dengan persyaratan kepatuhan keamanan jaringan modern:

Menggunakan satu port server, 2049, untuk semua komunikasi, sehingga membantu menyederhanakan konfigurasi firewall.
Mendukung daftar kontrol akses (ACL) file NFSv4.1.
- Setiap ACL mendukung hingga 50 entri kontrol akses (ACE) per file atau direktori. Hal ini mencakup catatan pewarisan.
Dukungan grup tanpa batas saat menggunakan integrasi Microsoft AD Terkelola.
Mendukung penanganan kegagalan klien yang lebih baik dengan penguncian saran berbasis sewa.
- Klien harus memverifikasi koneksi berkelanjutan dengan server. Jika klien tidak memperpanjang sewa, server akan melepaskan penguncian dan file akan tersedia untuk klien lain yang meminta akses melalui sewa penguncian. Di NFSv3, jika klien dihapus saat dikunci, file tidak dapat diakses oleh klien lain, seperti node GKE baru.
Mendukung pemulihan stateful.
- Tidak seperti NFSv3, NFSv4.1 adalah protokol stateful berbasis koneksi dan TCP. Status klien dan server pada sesi sebelumnya dapat dilanjutkan setelah pemulihan.

Managed Service for Microsoft Active Directory

Meskipun Layanan Terkelola untuk Microsoft Active Directory (Microsoft AD Terkelola) bukan persyaratan yang ketat, solusi ini adalah satu-satunya solusi Google Cloud-terkelola yang mendukung LDAP dan Kerberos, yang keduanya merupakan persyaratan untuk protokol NFSv4.1 Filestore.

Administrator sangat dianjurkan untuk menggunakan Layanan Terkelola untuk Microsoft Active Directory (Microsoft AD Terkelola) untuk mengimplementasikan dan mengelola LDAP dan Kerberos.

Sebagai solusi terkelola, Microsoft AD Terkelola memberikan manfaat berikut: Google Cloud

Menawarkan deployment multiregion, yang mendukung hingga lima region di domain yang sama.
- Mengurangi latensi dengan memastikan pengguna dan server login masing-masing berada dalam jarak yang lebih dekat.
Mendukung POSIX RFC 2307 dan RFC 2307bis, persyaratan untuk implementasi NFSv4.1.
Mengotomatiskan pemetaan pengguna ID unik (UID) dan ID unik global (GUID).
Pengguna dan grup dapat dibuat di atau dimigrasikan ke Microsoft AD Terkelola.
Administrator dapat membuat kepercayaan domain dengan domain Active Directory (AD) dan LDAP lokal yang saat ini dikelola sendiri. Dengan opsi ini, migrasi tidak diperlukan.
Menyediakan SLA.

Kontrol akses dan perilaku tambahan

ACE NFSv4.1 Filestore dikelola di Linux menggunakan perintah berikut:
- nfs4_setfacl: Membuat atau mengedit ACE pada file atau direktori.
- nfs4_getfacl: Mencantumkan ACE pada file atau direktori.
Setiap ACL mendukung hingga 50 ACE. Enam entri dicadangkan untuk ACE yang dibuat secara otomatis yang dibuat oleh operasi chmod klien. ACE ini dapat diubah setelah dibuat.

Catatan ACE yang dibuat secara otomatis yang mewakili bit mode dicantumkan dalam urutan prioritas berikut:
- DENY and ALLOW ACEs untuk OWNER@
- DENY and ALLOW ACEs untuk GROUP@
- DENY and ALLOW ACEs untuk EVERYONE@
  
  Jika ACE tersebut sudah ada, ACE tersebut akan digunakan kembali dan diubah sesuai dengan bit mode baru yang diterapkan.
Filestore NFSv4.1 mendukung pemeriksaan akses yang diperlukan hanya dalam mode POSIX RWX (baca, tulis, dan jalankan). Fitur ini tidak akan membedakan antara write append dan write operasi yang mengubah konten atau SETATTR spesifikasi. Utilitas nfs4_setfacl juga menerima RWX sebagai pintasan dan otomatis mengaktifkan semua flag yang sesuai.
nfs4_getfacl tidak melakukan terjemahan pokoknya sendiri. Utilitas nfs4_getfacl akan menampilkan UID dan GUID numerik untuk pokok. Akibatnya, pokok khusus OWNER@, GROUP@, dan EVERYONE@ akan ditampilkan.
Terlepas dari apakah menggunakan Microsoft AD Terkelola atau tidak, saat menggunakan AUTH-SYS dan utilitas nfs4_setfacl, administrator harus menentukan numerik UID dan GUID, bukan nama pengguna. Utilitas ini tidak dapat menerjemahkan nama ke nilai ini. Jika tidak diberikan dengan benar, instance Filestore akan ditetapkan secara default ke ID nobody.
Saat menentukan izin tulis untuk file, atau bahkan file yang terpengaruh oleh ACE yang diwarisi, ACE harus menyertakan flag w (tulis) dan a (tambahkan) .
Saat memeriksa izin untuk SETATTR, respons yang ditampilkan mirip dengan POSIX dengan cara berikut:
- Superuser atau pengguna ROOT dapat melakukan apa saja.
- Hanya pemilik file yang dapat menetapkan bit mode, ACL, dan stempel waktu ke waktu dan grup tertentu, seperti salah satu GUID yang dimilikinya.
- Pengguna selain pemilik file dapat melihat atribut, termasuk ACL.
Satu ACE mencakup izin efektif dan izin khusus warisan. Berbeda dengan implementasi NFSv4.1 lainnya, Filestore tidak akan otomatis mereplikasi ACES yang diwarisi untuk tujuan membedakan antara ACE efektif dan ACE khusus warisan.

Batasan NFSv4.1

Protokol NFSv4.1 memiliki batasan berikut:

Batasan umum
- Saat memulihkan cadangan, instance baru harus menggunakan protokol yang sama dengan instance sumber.
- Saat menggunakan salah satu setelan keamanan Kerberos yang diautentikasi, pengguna dapat mengharapkan latensi operasi tertentu. Latensi meningkat dengan setiap peningkatan tingkat keamanan.
- Protokol NFSv4.1 tidak mendukung ACE AUDIT dan ALARM.
- Audit akses data tidak didukung.
Batasan GKE

Protokol NFSv4.1 tidak dapat digabungkan dengan multishare Filestore untuk GKE. Fitur ini hanya didukung dengan NFSv3. Untuk daftar lengkap versi GKE yang didukung untuk setiap tingkat layanan dan protokol Filestore, lihat tabel kompatibilitas di Mengakses instance Filestore dengan driver CSI Filestore.
Batasan Microsoft AD Terkelola
- Setelah dikonfigurasi, jangan hapus domain Microsoft AD Terkelola atau peering jaringan. Jika Anda melakukannya, berbagi Filestore akan menjadi tidak dapat diakses.
- Satu-satunya mekanisme autentikasi yang didukung adalah RPCSEC_GSS, yang diimplementasikan menggunakan LDAP dan Kerberos (keduanya tersedia di Microsoft AD Terkelola).
- Agar instance Filestore bergabung dengan Microsoft AD Terkelola melalui VPC Bersama, Anda harus menggunakan gcloud atau Filestore API, bukan Google Cloud.
- Nama domain Microsoft AD Terkelola tidak boleh melebihi 56 karakter.

Tentang protokol sistem file yang didukung Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.