Filestore 支援下列檔案系統通訊協定:
NFSv3
- 適用於所有服務層級。
- 支援用戶端與伺服器之間的雙向通訊。
- 使用多個通訊埠。
- 為網路流量和作業建立信任管道。
- 提供標準 POSIX 存取權的快速設定。
NFSv4.1
- 適用於可用區、區域和企業服務層級。
- Filestore CSI 驅動程式支援建立區域或企業執行個體,並以 NFSv4.1 語意掛接這些執行個體。
- 可與現代防火牆設定相容,並支援網路安全法規遵循要求。
- 通訊一律由用戶端發起,並一律透過單一伺服器連接埠
2049提供服務。 - 支援用戶端和伺服器驗證。
- 需要 RPCSEC_GSS 驗證,這項驗證是透過 LDAP 和 Kerberos 實作,兩者皆可在 Managed Service for Microsoft Active Directory 中使用。
- 支援 LDAP 和 Kerberos 驗證 (
krb5)、訊息完整性檢查 (krb5i) 和傳輸中資料加密 (krb5p)。 - 為用戶端和伺服器提供 NFSv4.1 檔案 ACL 支援。
- 通訊一律由用戶端發起,並一律透過單一伺服器連接埠
每種通訊協定最適合的用途都不盡相同。下表比較各通訊協定的規格:
| 規格 | NFSv3 | NFSv4.1 |
|---|---|---|
| 支援的服務層級 | 所有服務層級 | 可用區、區域和企業 |
| 雙向通訊 | 是 | 否。通訊一律由用戶端使用伺服器通訊埠 2049 發起。 |
| 驗證 | 否 | 可以。需要 RPCSEC_GSS 驗證,並使用 LDAP 和 Kerberos 實作,兩者皆可在 Managed Service for Microsoft Active Directory 中使用。 |
| 支援檔案或目錄存取控制清單 (ACL) | 否 | 可以。每個清單最多支援 50 個存取控制項目 (ACE)。 |
| 群組支援 | 最多 16 個群組 | 連結至代管的 Microsoft AD 時,支援的群組數量不限。 |
| 安全性設定 | sys. 建立信任管道。 |
sys. 建立信任管道。krb5。驗證用戶端和伺服器。krb5i。提供驗證和郵件完整性檢查。krb5p。提供驗證、訊息完整性檢查和傳輸中資料加密。 |
| 作業延遲 | 無 | 選取的安全等級越高,作業延遲時間就越長。 |
| 復原類型 | 無狀態 | 有狀態 |
| 檔案鎖定類型 | 網路鎖定管理員 (NLM)。鎖定作業由用戶端控制。 | 以租約為準的諮詢鎖定。鎖定狀態由伺服器控制。 |
| 支援用戶端故障 | 否 | 是 |
| 支援私人服務存取權 | 是 | 是 |
| 支援 Private Service Connect (受限正式發布),並採用 IPv4 和 IPv6 通訊協定 | 是 | 是 |
NFSv3 的優點
NFSv3 通訊協定可快速設定標準 POSIX 存取權。
NFSv3 限制
以下列出 NFSv3 的限制:
- 缺少用戶端和伺服器驗證與加密機制。
- 缺少用戶端失敗處理機制。
使用 Private Service Connect 的 NFSv3 執行個體,其 NFS 檔案鎖定功能有下列限制:
- 等待封鎖鎖定的用戶端不會在鎖定可用時收到通知。
- 系統偵測到這些用戶端後續的 NLM 活動時,會自動清除重新啟動的用戶端上的鎖定。
NFSv4.1 的優點
NFSv4.1 通訊協定使用 RPCSEC_GSS 驗證方法,透過 LDAP 和 Kerberos 實作,提供用戶端和伺服器驗證、訊息完整性檢查,以及傳輸中資料加密。
這些安全功能可讓 NFSv4.1 通訊協定符合現代網路安全法規要求:
所有通訊都使用單一伺服器通訊埠
2049,有助於簡化防火牆設定。支援 NFSv4.1 檔案存取控制清單 (ACL)。
- 每個 ACL 最多可支援每個檔案或目錄 50 個存取控制項目 (ACE)。包括繼承記錄。
使用 Managed Microsoft AD 整合時,支援無限制的群組。
支援以租約為基礎的諮詢鎖定,可更妥善處理用戶端故障。
- 用戶端必須驗證與伺服器的連線是否持續。如果用戶端未續租,伺服器會釋放鎖定,其他用戶端即可透過鎖定租約要求存取檔案。在 NFSv3 中,如果用戶端在鎖定狀態下遭到刪除,其他用戶端 (例如新的 GKE 節點) 就無法存取該檔案。
支援有狀態復原。
- 與 NFSv3 不同,NFSv4.1 是以 TCP 和連線為基礎的有狀態通訊協定。復原後,即可繼續執行上一個工作階段的用戶端和伺服器狀態。
Managed Service for Microsoft Active Directory
Managed Service for Microsoft Active Directory (Managed Microsoft AD) 並非必要條件,但這是唯一支援 LDAP 和 Kerberos 的 Google Cloud管理解決方案,而這兩者都是 Filestore NFSv4.1 通訊協定的必要條件。
強烈建議管理員使用 Managed Service for Microsoft Active Directory (Managed Microsoft AD),實作及管理 LDAP 和 Kerberos。
Managed Microsoft AD 是 Google Cloud代管解決方案,可提供下列優點:
提供多區域部署功能,在同一個網域中最多支援五個區域。
- 確保使用者和各自的登入伺服器距離較近,以減少延遲。
支援 POSIX RFC 2307 和 RFC 2307bis,符合 NFSv4.1 實作需求。
自動建立專屬 ID (UID) 和全域專屬 ID (GUID) 使用者對應。
您可以在受管理 Microsoft AD 中建立使用者和群組,也可以將其遷移至受管理 Microsoft AD。
管理員可以與目前的內部部署、自行管理的 Active Directory (AD) 和 LDAP 網域建立網域信任關係。使用這個選項時, 不需要遷移資料。
提供服務水準協議。
存取權控管和其他行為
在 Linux 上,可以使用下列指令管理 Filestore NFSv4.1 ACE:
nfs4_setfacl:在檔案或目錄中建立或編輯 ACE。nfs4_getfacl:列出檔案或目錄的 ACE。
每個 ACL 最多可支援 50 個 ACE。其中六個項目保留給用戶端
chmod作業建立的自動產生 ACE。建立後可以修改這些 ACE。系統會自動產生代表模式位元的 ACE 記錄,並依下列優先順序排列:
DENY and ALLOW ACEs:OWNER@DENY and ALLOW ACEs:GROUP@EVERYONE@專用的「DENY and ALLOW ACEs」如果已有這類 ACE,系統會根據新套用的模式位元重複使用並修改這些 ACE。
Filestore NFSv4.1 僅支援在 POSIX 模式
RWX(讀取、寫入和執行) 中檢查必要存取權。系統不會區分修改內容或SETATTR規格的write append和write作業。nfs4_setfacl公用程式也接受RWX做為捷徑,並自動開啟所有適當的標記。nfs4_getfacl本身不會翻譯主體,nfs4_getfacl公用程式會顯示主體的數值UID和GUID。因此,系統會顯示OWNER@、GROUP@和EVERYONE@的特殊主體。無論是否使用 Managed Microsoft AD,管理員都必須使用
AUTH-SYS和nfs4_setfacl公用程式,並指定數值UID和GUID,而非使用者名稱。這項公用程式無法將名稱轉換為這些值。如果未正確提供,Filestore 執行個體會預設為nobodyID。為檔案指定寫入權限時,或甚至為受繼承 ACE 影響的檔案指定寫入權限時,ACE 必須同時包含
w(寫入) 和a(附加) 旗標。檢查
SETATTR的權限時,傳回的回應類似於POSIX,如下所示:- 超級使用者或
ROOT使用者可以執行任何操作。 - 只有檔案擁有者可以將模式位元、ACL 和時間戳記設定為特定時間和群組,例如檔案所屬的其中一個
GUID。 - 檔案擁有者以外的使用者可以查看屬性,包括 ACL。
- 超級使用者或
單一 ACE 包含有效權限和僅限繼承的權限。與其他 NFSv4.1 實作方式不同,Filestore 不會自動複製繼承的 ACE,以區分有效和僅限繼承的 ACE。
NFSv4.1 限制
NFSv4.1 通訊協定有以下限制:
一般限制
- 還原備份時,新執行個體必須使用與來源執行個體相同的通訊協定。
- 使用任何經過驗證的 Kerberos 安全性設定時,使用者可能會遇到作業延遲。安全等級越高,延遲時間就越長。
- NFSv4.1 通訊協定不支援
AUDIT和ALARMACE。 - 不支援資料存取稽核。
GKE 限制
NFSv4.1 通訊協定無法與 Filestore multishares for GKE 搭配使用。這項功能僅支援 NFSv3。 如需各 Filestore 服務層級和通訊協定支援的 GKE 版本完整清單,請參閱「透過 Filestore CSI 驅動程式存取 Filestore 執行個體」一文中的相容性表格。
Managed Microsoft AD 限制
- 設定完成後,請勿刪除 Managed Microsoft AD 網域或網路對等互連。否則會導致無法存取 Filestore 共用區。
- 唯一支援的驗證機制是 RPCSEC_GSS,這項機制是透過 LDAP 和 Kerberos (兩者都可在 Managed Microsoft AD 中使用) 實作。
- 如要透過共用 VPC 將 Filestore 執行個體加入 Managed Microsoft AD,必須使用
gcloud或 Filestore API,而非 Google Cloud。 - 受管理 Microsoft AD 網域名稱不得超過 56 個字元。
後續步驟
Private Service Connect 功能目前處於受限的正式發布階段,因此需要額外存取權。如要申請存取權,請與 Google Cloud 帳戶代表聯絡。詳情請參閱「建立使用 Private Service Connect 的 Filestore 執行個體」。- 建立使用 Private Service Connect 的 Filestore 執行個體
- 設定 NFSv4.1 通訊協定
- 使用 Managed Microsoft AD 建立 Filestore 執行個體