Filestore admite los siguientes protocolos de sistemas de archivos:
NFSv3
- Disponible en todos los niveles de servicio
- Admite la comunicación bidireccional entre el cliente y el servidor
- Usa varios puertos
- Crea un canal de confianza para el tráfico y las operaciones de red
- Ofrece una configuración rápida para el acceso POSIX estándar
NFSv4.1
- Disponible en los niveles de servicio zonal, regional y empresarial
- Es compatible con el controlador CSI de Filestore para crear instancias zonales o empresariales y activarlas con la semántica de NFSv4.1
- Es compatible con las configuraciones de firewall modernas y admite los requisitos de cumplimiento de seguridad de la red
- El cliente siempre inicia la comunicación y siempre se entrega a través de un solo puerto del servidor,
2049 - Admite la autenticación del cliente y del servidor
- Requiere la autenticación RPCSEC_GSS que se implementa con LDAP y Kerberos, ambos disponibles en el Servicio administrado para Microsoft Active Directory.
- Admite LDAP y Kerberos para la autenticación (
krb5), las verificaciones de integridad de mensajes (krb5i) y la encriptación de datos en tránsito (krb5p) - Ofrece compatibilidad con las ACL de archivos NFSv4.1 para el cliente y el servidor
- El cliente siempre inicia la comunicación y siempre se entrega a través de un solo puerto del servidor,
Cada protocolo es más adecuado para casos de uso específicos. En la siguiente tabla, se comparan las especificaciones de cada protocolo:
| Especificación | NFSv3 | NFSv4.1 |
|---|---|---|
| Niveles de servicio admitidos | Todos los niveles de servicio | Zonal, regional y empresarial |
| Comunicación bidireccional | Sí | No. El cliente siempre inicia la comunicación con el puerto del servidor 2049. |
| Autenticación | No | Sí. Requiere la autenticación RPCSEC_GSS, que se implementa con LDAP y Kerberos, ambos disponibles en el Servicio administrado para Microsoft Active Directory. |
| Admite listas de control de acceso (ACL) de archivos o directorios | No | Sí. Admite hasta 50 entradas de control de acceso (ACE) por lista. |
| Compatibilidad con grupos | Hasta 16 grupos | Compatibilidad con grupos ilimitados cuando se conecta a Microsoft AD administrado |
| Configuración de seguridad | sys. Crea un canal de confianza. |
sys. Crea un canal de confianza. krb5. Autentica el cliente y el servidor. krb5i. Proporciona autenticación y verificaciones de integridad de mensajes.krb5p. Proporciona autenticación, verificaciones de integridad de mensajes y encriptación de datos en tránsito. |
| Latencia de las operaciones | Ninguno | La latencia de las operaciones aumenta con el nivel de seguridad seleccionado. |
| Tipo de recuperación | Sin estado | Con estado |
| Tipo de bloqueo de archivos | Administrador de bloqueo de red (NLM). El cliente controla el bloqueo. | Bloqueo de asesoramiento basado en arrendamiento. El servidor controla el bloqueo. |
| Admite fallas del cliente | No | Sí |
| Admite el acceso a servicios privados | Sí | Sí |
| Admite Private Service Connect (GA restringida) con protocolos IPv4 e IPv6 | Sí | Sí |
Beneficios de NFSv3
El protocolo NFSv3 ofrece una configuración rápida para el acceso POSIX estándar.
Limitaciones de NFSv3
La siguiente es una lista de limitaciones de NFSv3:
- Carece de autenticación y encriptación del cliente y del servidor.
- Carece de manejo de fallas del cliente.
En el caso de las instancias de NFSv3 que usan Private Service Connect, el bloqueo de archivos NFS está sujeto a las siguientes limitaciones:
- Los clientes que esperan bloqueos no recibirán notificaciones cuando los bloqueos estén disponibles.
- Los bloqueos en los clientes reiniciados se borran automáticamente solo cuando se detecta actividad NLM posterior de estos clientes.
Beneficios de NFSv4.1
El protocolo NFSv4.1 usa el método de autenticación RPCSEC_GSS , que se implementa con LDAP y Kerberos para proporcionar autenticación del cliente y del servidor, verificaciones de integridad de mensajes y encriptación de datos en tránsito.
Estas capacidades de seguridad hacen que el protocolo NFSv4.1 sea compatible con los requisitos de cumplimiento de seguridad de la red modernos:
Usa un solo puerto del servidor,
2049, para toda la comunicación, lo que ayuda a simplificar las configuraciones de firewall.Admite listas de control de acceso (ACL) de archivos NFSv4.1.
- Cada ACL admite hasta 50 entradas de control de acceso (ACE) por archivo o directorio. Esto incluye registros de herencia.
Compatibilidad con grupos ilimitados cuando se usa la integración de Microsoft AD administrado.
Admite un mejor manejo de fallas del cliente con el bloqueo de asesoramiento basado en arrendamiento.
- El cliente debe verificar la conexión continua con el servidor. Si el cliente no renueva el arrendamiento, el servidor libera el bloqueo y el archivo estará disponible para cualquier otro cliente que solicite acceso a través de un arrendamiento de bloqueo. En NFSv3, si se borra un cliente mientras está bloqueado, otro cliente, como un nodo de GKE nuevo, no puede acceder al archivo.
Admite la recuperación con estado.
- A diferencia de NFSv3, NFSv4.1 es un protocolo con estado basado en TCP y conexión. El estado del cliente y del servidor en la sesión anterior se puede reanudar después de la recuperación.
Servicio administrado para Microsoft Active Directory
Si bien el Servicio administrado para Microsoft Active Directory (Microsoft AD administrado) no es un requisito estricto, es la única solución Google Cloudadministrada que admite LDAP y Kerberos, ambos requisitos para el protocolo NFSv4.1 de Filestore.
Se recomienda a los administradores que usen el Servicio administrado para Microsoft Active Directory (Microsoft AD administrado) para implementar y administrar LDAP y Kerberos.
Como solución administrada Google Cloud, Microsoft AD administrado proporciona los siguientes beneficios:
Ofrece implementación multirregión, que admite hasta cinco regiones en el mismo dominio.
- Reduce la latencia, ya que garantiza que los usuarios y sus respectivos servidores de acceso estén más cerca.
Admite POSIX RFC 2307 y RFC 2307bis, requisitos para la implementación de NFSv4.1.
Automatiza el mapeo de usuarios del identificador único (UID) y el identificador único global (GUID).
Los usuarios y los grupos se pueden crear en Microsoft AD administrado o migrar a él.
Los administradores pueden crear una confianza de dominio con el dominio actual de Active Directory (AD) y LDAP local y autoadministrado. Con esta opción, no es necesaria la migración.
Brinda un ANS
Control de acceso y comportamientos adicionales
Las ACE de NFSv4.1 de Filestore se administran en Linux con los siguientes comandos:
nfs4_setfacl: Crea o edita ACE en un archivo o directorio.nfs4_getfacl: Enumera las ACE en un archivo o directorio.
Cada ACL admite hasta 50 ACE. Se reservan seis entradas para las ACE generadas automáticamente que crean las operaciones
chmoddel cliente. Estas ACE se pueden modificar después de la creación.Los registros de ACE generados automáticamente que representan los bits de modo se enumeran en el siguiente orden de prioridad:
DENY and ALLOW ACEsparaOWNER@DENY and ALLOW ACEsparaGROUP@DENY and ALLOW ACEsparaEVERYONE@Si esas ACE ya están presentes, se volverán a usar y se modificarán según los nuevos bits de modo aplicados.
Filestore NFSv4.1 admite la verificación del acceso requerido solo en el modo POSIX
RWX(lectura, escritura y ejecución). No diferenciará entrewrite appendywriteoperaciones que modifican el contenido o laSETATTRespecificación. La utilidadnfs4_setfacltambién aceptaRWXcomo un acceso directo y activa automáticamente todas las marcas adecuadas.nfs4_getfaclno realiza ninguna traducción del principal por sí mismo. Lanfs4_getfaclutilidad mostrará elUIDy elGUIDnuméricos para los principales. Como resultado, se mostrarán los principales especiales deOWNER@,GROUP@yEVERYONE@.Independientemente de si se usa Microsoft AD administrado, cuando se trabaja con
AUTH-SYSy la utilidadnfs4_setfacl, los administradores deben especificar el numéricoUIDyGUID, no los nombres de usuario. Esta utilidad no puede traducir nombres a estos valores. Si no se proporciona correctamente, la instancia de Filestore usará de forma predeterminada el IDnobody.Cuando se especifican permisos de escritura para un archivo, o incluso archivos afectados por una ACE heredada, la ACE debe incluir las marcas
w(escritura) ya(agregar) .Cuando se verifican los permisos para
SETATTR, la respuesta que se muestra es similar aPOSIXde la siguiente manera:- El superusuario o el usuario
ROOTpueden hacer cualquier cosa. - Solo el propietario del archivo puede establecer los bits de modo, las ACL y las marcas de tiempo en un momento y grupo específicos, como uno de los
GUIDa los que pertenece. - Los usuarios que no sean el propietario del archivo pueden ver los atributos, incluida la ACL.
- El superusuario o el usuario
Una sola ACE abarca permisos efectivos y solo de herencia. A diferencia de otras implementaciones de NFSv4.1, Filestore no replicará automáticamente las ACE heredadas con el propósito de distinguir entre las ACE efectivas y las ACE solo de herencia.
Limitaciones de NFSv4.1
El protocolo NFSv4.1 tiene las siguientes limitaciones:
Limitaciones generales
- Cuando se restablece una copia de seguridad, la instancia nueva debe usar el mismo protocolo que la instancia de origen.
- Cuando se usa cualquiera de los parámetros de configuración de seguridad de Kerberos autenticados, los usuarios pueden esperar cierta latencia de las operaciones. La latencia aumenta con cada nivel de seguridad creciente.
- El protocolo NFSv4.1 no admite las ACE
AUDITyALARM. - No se admite la auditoría de acceso a los datos.
Limitaciones de GKE
El protocolo NFSv4.1 no se puede combinar con los recursos compartidos de Filestore para GKE. Esta función solo es compatible con NFSv3. Para obtener una lista completa de las versiones de GKE compatibles para cada nivel de servicio y protocolo de Filestore, consulta la tabla de compatibilidad en Accede a instancias de Filestore con el controlador CSI de Filestore.
Limitaciones de Microsoft AD administrado
- Una vez configurado, no borres el dominio de Microsoft AD administrado ni el intercambio de tráfico de red. De lo contrario, se impedirá el acceso al recurso compartido de Filestore.
- El único mecanismo de autenticación admitido es RPCSEC_GSS, que se implementa con LDAP y Kerberos (ambos disponibles en Microsoft AD administrado).
- Para que una instancia de Filestore se una a Microsoft AD administrado a través de una VPC compartida, debes usar
gcloudo la API de Filestore, no la Google Cloud. - El nombre de dominio de Microsoft AD administrado no debe exceder los 56 caracteres.
¿Qué sigue?
- Crea una instancia de Filestore con Private Service Connect
- Configura el protocolo NFSv4.1
- Crea una instancia de Filestore con Microsoft AD administrado