Sobre os protocolos do sistema de arquivos com suporte

O Filestore oferece suporte aos seguintes protocolos de sistema de arquivos:

NFSv3

  • Disponível em todos os níveis de serviço.
  • Oferece suporte à comunicação bidirecional entre o cliente e o servidor.
    • Usa várias portas.
    • Cria um canal de confiança para tráfego de rede e operações.
  • Oferece configuração rápida para acesso POSIX padrão.

NFSv4.1

  • Disponível nos níveis de serviço zonal, regional e empresarial.
  • Com suporte do driver CSI do Filestore para criar instâncias zonais ou empresariais e montá-las com semântica NFSv4.1.
  • Compatível com configurações de firewall modernas e oferece suporte a requisitos de compliance de segurança de rede.
    • A comunicação é sempre iniciada pelo cliente e veiculada por uma única porta do servidor, 2049.
    • Oferece suporte à autenticação de cliente e servidor.

Cada protocolo é mais adequado para casos de uso específicos. A tabela a seguir compara as especificações de cada protocolo:

Especificação NFSv3 NFSv4.1
Níveis de serviço com suporte Todos os níveis de serviço Zonal, regional e empresarial
Comunicação bidirecional Sim Não. A comunicação é sempre iniciada pelo cliente usando a porta do servidor 2049.
Autenticação Não Sim. Requer a autenticação RPCSEC_GSS, implementada usando LDAP e Kerberos, ambos disponíveis no serviço gerenciado para Microsoft Active Directory.
Oferece suporte a listas de controle de acesso (ACLs) de arquivos ou diretórios Não Sim. Oferece suporte a até 50 entradas de controle de acesso (ACEs) por lista.
Suporte a grupos Até 16 grupos Suporte ilimitado a grupos quando conectado ao Microsoft AD gerenciado.
Configuração de segurança sys. Cria um canal de confiança. sys. Cria um canal de confiança. krb5. Autentica o cliente e o servidor. krb5i. Fornece autenticação e verificações de integridade de mensagens.krb5p. Fornece autenticação, verificações de integridade de mensagens e criptografia de dados em trânsito.
Latência de operações Nenhuma A latência de operações aumenta com o nível de segurança selecionado.
Tipo de recuperação Sem estado Com estado
Tipo de bloqueio de arquivo Network Lock Manager (NLM). O bloqueio é controlado pelo cliente. Bloqueio consultivo baseado em concessão. O bloqueio é controlado pelo servidor.
Oferece suporte a falhas do cliente Não Sim
Oferece suporte ao acesso a serviços particulares Sim Sim
Oferece suporte ao Private Service Connect (GA restrito) com protocolos IPv4 e IPv6 Sim Sim

Benefícios do NFSv3

O protocolo NFSv3 oferece configuração rápida para acesso POSIX padrão.

Limitações do NFSv3

Confira abaixo uma lista de limitações do NFSv3:

  • Não tem autenticação e criptografia de cliente e servidor.
  • Não tem tratamento de falhas do cliente.

Para instâncias NFSv3 que usam o Private Service Connect, o bloqueio de arquivos NFS está sujeito às seguintes limitações:

  • Os clientes que aguardam bloqueios não recebem notificações quando os bloqueios ficam disponíveis.
  • Os bloqueios em clientes reinicializados são limpos automaticamente somente ao detectar a atividade NLM subsequente desses clientes.

Benefícios do NFSv4.1

O protocolo NFSv4.1 usa o método de autenticação RPCSEC_GSS , que é implementado usando LDAP e Kerberos para fornecer autenticação de cliente e servidor, verificações de integridade de mensagens e criptografia de dados em trânsito.

Esses recursos de segurança tornam o protocolo NFSv4.1 compatível com os requisitos de compliance de segurança de rede modernos:

  • Usa uma única porta do servidor, 2049, para toda a comunicação, ajudando a simplificar as configurações de firewall.

  • Oferece suporte a listas de controle de acesso (ACLs) de arquivos NFSv4.1.

    • Cada ACL oferece suporte a até 50 entradas de controle de acesso (ACEs) por arquivo ou diretório. Isso inclui registros de herança.

  • Suporte ilimitado a grupos ao usar a integração do Microsoft AD gerenciado.

  • Oferece suporte a um melhor tratamento de falhas do cliente com bloqueio consultivo baseado em concessão.

    • O cliente precisa verificar a conexão contínua com o servidor. Se o cliente não renovar a concessão, o servidor vai liberar o bloqueio e o arquivo ficará disponível para qualquer outro cliente que solicitar acesso por meio de uma concessão de bloqueio. No NFSv3, se um cliente for excluído enquanto estiver bloqueado, o arquivo não poderá ser acessado por outro cliente, como um novo nó do GKE.

  • Oferece suporte à recuperação com estado.

    • Ao contrário do NFSv3, o NFSv4.1 é um protocolo com estado baseado em TCP e conexão. O estado do cliente e do servidor na sessão anterior pode ser retomado após a recuperação.

Serviço gerenciado para Microsoft Active Directory

Embora o serviço gerenciado para Microsoft Active Directory (Managed Microsoft AD) não seja um requisito estrito, ele é a única solução Google Cloud-gerenciada que oferece suporte a LDAP e Kerberos, ambos requisitos para o protocolo NFSv4.1 do Filestore.

Recomendamos que os administradores usem o serviço gerenciado para Microsoft Active Directory (Managed Microsoft AD) para implementar e gerenciar LDAP e Kerberos.

Como uma solução Google Cloud-gerenciada, o Microsoft AD gerenciado oferece os seguintes benefícios:

  • Oferece implantação multirregional, com suporte a até cinco regiões no mesmo domínio.

    • Reduz a latência, garantindo que os usuários e os respectivos servidores de login estejam mais próximos.

  • Oferece suporte aos requisitos POSIX RFC 2307 e RFC 2307bis, para implementação do NFSv4.1.

  • Automatiza o mapeamento de usuários de identificador exclusivo (UID) e identificador exclusivo global (GUID).

  • Os usuários e grupos podem ser criados ou migrados para o Microsoft AD gerenciado.

  • Os administradores podem criar uma confiança de domínio com o domínio do Active Directory (AD) e LDAP atual no local e autogerenciado. Com essa opção, a migração não é necessária.

  • Fornece um SLA.

Controle de acesso e outros comportamentos

  • As ACEs do Filestore NFSv4.1 são gerenciadas no Linux usando os seguintes comandos:

    • nfs4_setfacl: cria ou edita ACEs em um arquivo ou diretório.
    • nfs4_getfacl: lista as ACEs em um arquivo ou diretório.

  • Cada ACL oferece suporte a até 50 ACEs. Seis entradas são reservadas para ACEs geradas automaticamente criadas por operações chmod do cliente. Essas ACEs podem ser modificadas após a criação.

    Os registros de ACE gerados automaticamente que representam os bits de modo são listados na seguinte ordem de prioridade:

    • DENY and ALLOW ACEs para o OWNER@
    • DENY and ALLOW ACEs para o GROUP@

    • DENY and ALLOW ACEs para EVERYONE@

      Se essas ACEs já estiverem presentes, elas serão reutilizadas e modificadas de acordo com os novos bits de modo aplicados.

  • O Filestore NFSv4.1 oferece suporte à verificação do acesso necessário apenas no modo POSIX RWX (leitura, gravação e execução). Ele não diferencia entre write append e write operações que modificam o conteúdo ou SETATTR especificação. O utilitário nfs4_setfacl também aceita RWX como um atalho e ativa automaticamente todas as flags apropriadas.

  • O nfs4_getfacl não faz nenhuma tradução do principal por conta própria. O nfs4_getfacl utilitário mostra o UID e o GUID numéricos para os principais. Como resultado, os principais especiais de OWNER@, GROUP@ e EVERYONE@ serão mostrados.

  • Independentemente de usar o Microsoft AD gerenciado, ao trabalhar com AUTH-SYS e o utilitário nfs4_setfacl, os administradores precisam especificar o numérico UID e GUID, não os nomes de usuário. Esse utilitário não consegue traduzir nomes para esses valores. Se não for fornecido corretamente, a instância do Filestore vai usar o ID nobody como padrão.

  • Ao especificar permissões de gravação para um arquivo ou até mesmo arquivos afetados por uma ACE herdada, a ACE precisa incluir as flags w (gravação) e a (anexar) .

  • Ao verificar as permissões para SETATTR, a resposta retornada é semelhante a POSIX da seguinte maneira:

    • O superusuário ou o usuário ROOT pode fazer qualquer coisa.
    • Somente o proprietário do arquivo pode definir os bits de modo, as ACLs e os carimbos de data/hora para um horário e grupo específicos, como um dos GUIDs a que ele pertence.
    • Usuários que não são proprietários do arquivo podem visualizar os atributos, incluindo a ACL.

  • Uma única ACE abrange permissões efetivas e somente de herança. Ao contrário de outras implementações do NFSv4.1, o Filestore não replica automaticamente as ACEs herdadas para distinguir entre ACEs efetivas e somente de herança.

Limitações do NFSv4.1

O protocolo NFSv4.1 tem as seguintes limitações:

  • Limitações gerais

    • Ao restaurar um backup, a nova instância precisa usar o mesmo protocolo da instância de origem.
    • Ao usar qualquer uma das configurações de segurança Kerberos autenticadas, os usuários podem esperar alguma latência de operações. A latência aumenta com cada nível de segurança.
    • O protocolo NFSv4.1 não oferece suporte a ACEs AUDIT e ALARM.
    • A auditoria de acesso a dados não é compatível.

  • Limitações do GKE

    O protocolo NFSv4.1 não pode ser combinado com compartilhamentos múltiplos do Filestore para GKE. Esse recurso só é compatível com o NFSv3. Para uma lista abrangente de versões do GKE com suporte para cada nível de serviço e protocolo do Filestore, consulte a tabela de compatibilidade em Acessar instâncias do Filestore com o driver CSI do Filestore.

  • Limitações do Microsoft AD gerenciado

    • Depois de configurado, não exclua o domínio do Microsoft AD gerenciado nem o peering de rede. Isso faz com que o compartilhamento do Filestore fique inacessível.
    • O único mecanismo de autenticação compatível é o RPCSEC_GSS, que é implementado usando LDAP e Kerberos (ambos disponíveis no Microsoft AD gerenciado).
    • Para que uma instância do Filestore entre no Microsoft AD gerenciado por uma VPC compartilhada, use gcloud ou a API Filestore, não o Google Cloud.
    • O nome de domínio do Microsoft AD gerenciado não pode exceder 56 caracteres.

A seguir