Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Unterstützte Dateisystemprotokolle

Filestore unterstützt die folgenden Dateisystemprotokolle:

NFSv3

In allen Dienststufen verfügbar.
Unterstützt die bidirektionale Kommunikation zwischen Client und Server.
- Verwendet mehrere Ports.
- Erstellt einen Vertrauenskanal für Netzwerkverkehr und ‑vorgänge.
Bietet eine schnelle Einrichtung für den standardmäßigen POSIX-Zugriff.

NFSv4.1

Verfügbar in den Dienststufen „Zonal“, „Regional“ und „Enterprise“.
Wird vom Filestore-CSI-Treiber unterstützt, um zonale oder Enterprise-Instanzen zu erstellen und sie mit NFSv4.1-Semantik bereitzustellen.
Kompatibel mit modernen Firewallkonfigurationen und unterstützt die Anforderungen an die Netzwerksicherheit.
- Die Kommunikation wird immer vom Client initiiert und immer über einen einzelnen Serverport (2049) bereitgestellt.
- Unterstützt die Client- und Serverauthentifizierung.
  - Erfordert die RPCSEC_GSS-Authentifizierung , die mit LDAP und Kerberos implementiert wird. Beide sind in Managed Service for Microsoft Active Directory verfügbar.
  - Unterstützt LDAP und Kerberos für die Authentifizierung (krb5), Prüfungen der Nachrichten integrität (krb5i) und die Verschlüsselung von Daten während der Übertragung (krb5p).
  - Bietet NFSv4.1-Dateizugriffssteuerungslisten (Access Control Lists, ACLs) für den Client und den Server.

Jedes Protokoll ist am besten für bestimmte Anwendungsfälle geeignet. In der folgenden Tabelle werden die Spezifikationen der einzelnen Protokolle verglichen:

Spezifikation	NFSv3	NFSv4.1
Unterstützte Dienststufen	Alle Dienststufen	Zonal, regional und Enterprise
Bidirektionale Kommunikation	Ja	Nein. Die Kommunikation wird immer vom Client über den Serverport `2049` initiiert.
Authentifizierung	Nein	Ja. Erfordert die RPCSEC_GSS-Authentifizierung, die mit LDAP und Kerberos implementiert wird. Beide sind in Managed Service for Microsoft Active Directory verfügbar.
Unterstützt Zugriffssteuerungslisten (Access Control Lists, ACLs) für Dateien oder Verzeichnisse	Nein	Ja. Unterstützt bis zu 50 Access Control Entries (ACEs) pro Liste.
Gruppenunterstützung	Bis zu 16 Gruppen	Unbegrenzte Gruppenunterstützung bei Verbindung mit Managed Microsoft AD.
Sicherheitseinstellung	`sys`. Erstellt einen Vertrauenskanal.	`sys`. Erstellt einen Vertrauenskanal. `krb5`. Authentifiziert den Client und den Server. `krb5i`. Bietet Authentifizierung und Prüfungen der Nachrichtenintegrität.`krb5p`. Bietet Authentifizierung, Prüfungen der Nachrichtenintegrität und Verschlüsselung von Daten während der Übertragung.
Vorgangslatenz	Keine	Die Vorgangslatenz nimmt mit dem ausgewählten Sicherheitsniveau zu.
Wiederherstellungstyp	Zustandslos	Zustandsorientiert
Dateisperrtyp	Network Lock Manager (NLM). Die Sperre wird vom Client gesteuert.	Leasebasierte Advisory-Sperre. Die Sperre wird vom Server gesteuert.
Unterstützt Clientfehler	Nein	Ja
Unterstützt den Zugriff auf private Dienste	Ja	Ja
Unterstützt Private Service Connect (eingeschränkte allgemeine Verfügbarkeit) mit IPv4- und IPv6-Protokollen	Ja	Ja

Vorteile von NFSv3

Das NFSv3-Protokoll bietet eine schnelle Einrichtung für den standardmäßigen POSIX-Zugriff.

Einschränkungen von NFSv3

Im Folgenden finden Sie eine Liste der Einschränkungen von NFSv3:

Es gibt keine Client- und Serverauthentifizierung und ‑verschlüsselung.
Es gibt keine Behandlung von Clientfehlern.

Für NFSv3-Instanzen, die Private Service Connect verwenden, unterliegt die NFS-Dateisperrung den folgenden Einschränkungen:

Clients, die auf blockierende Sperren warten, erhalten keine Benachrichtigungen, wenn Sperren verfügbar werden.
Sperren auf neu gestarteten Clients werden nur automatisch aufgehoben, wenn nachfolgende NLM-Aktivitäten von diesen Clients erkannt werden.

Vorteile von NFSv4.1

Das NFSv4.1-Protokoll verwendet die RPCSEC_GSS-Authentifizierungsmethode, die mit LDAP und Kerberos implementiert wird, um Client - und Serverauthentifizierung, Prüfungen der Nachrichtenintegrität und Verschlüsselung von Daten während der Übertragung zu ermöglichen.

Dank dieser Sicherheitsfunktionen ist das NFSv4.1-Protokoll mit modernen Anforderungen an die Netzwerksicherheit kompatibel:

Verwendet einen einzelnen Serverport (2049) für die gesamte Kommunikation, was die Firewallkonfigurationen vereinfacht.
Unterstützt NFSv4.1-Dateizugriffssteuerungslisten (Access Control Lists, ACLs).
- Jede ACL unterstützt bis zu 50 Access Control Entries (ACEs) pro Datei oder Verzeichnis. Dazu gehören auch Vererbungsdatensätze.
Unbegrenzte Gruppenunterstützung bei Verwendung der Managed Microsoft AD-Integration.
Unterstützt eine bessere Behandlung von Clientfehlern mit leasebasierter Advisory-Sperre.
- Der Client muss die fortgesetzte Verbindung mit dem Server bestätigen. Wenn der Client den Lease nicht verlängert, gibt der Server die Sperre frei und die Datei ist für jeden anderen Client verfügbar, der über einen Sperrlease Zugriff anfordert. Wenn in NFSv3 ein Client gelöscht wird, während er gesperrt ist, kann nicht von einem anderen Client, z. B. einem neuen GKE-Knoten, auf die Datei zugegriffen werden.
Unterstützt die zustandsorientierte Wiederherstellung.
- Im Gegensatz zu NFSv3 ist NFSv4.1 ein zustandsorientiertes TCP- und verbindungsbasiertes Protokoll. Der Zustand von Client und Server in der vorherigen Sitzung kann nach der Wiederherstellung fortgesetzt werden.

Managed Service for Microsoft Active Directory

Managed Service for Microsoft Active Directory (Managed Microsoft AD) ist zwar keine zwingende Voraussetzung, aber die einzige Google Cloudverwaltete Lösung, die sowohl LDAP und Kerberos unterstützt. Beide sind für das Filestore-NFSv4.1-Protokoll erforderlich.

Administratoren wird dringend empfohlen, Managed Service for Microsoft Active Directory (Managed Microsoft AD) zu verwenden, um LDAP und Kerberos zu implementieren und zu verwalten.

Als Google Cloud-verwaltete Lösung bietet Managed Microsoft AD die folgenden Vorteile:

Bietet die Bereitstellung in mehreren Regionen und unterstützt bis zu fünf Regionen in derselben Domain.
- Verringert die Latenz, indem Nutzer und ihre jeweiligen Anmeldeserver näher beieinander platziert werden.
Unterstützt POSIX RFC 2307 und RFC 2307bis, die für die NFSv4.1-Implementierung erforderlich sind.
Automatisiert die Zuordnung von eindeutigen Kennungen (Unique IDs, UIDs) und global eindeutigen Kennungen (Globally Unique IDs, GUIDs) zu Nutzern.
Nutzer und Gruppen können in Managed Microsoft AD erstellt oder dorthin migriert werden.
Administratoren können eine Domainvertrauensstellung mit der aktuellen lokalen, selbstverwalteten Active Directory- (AD) und LDAP-Domain erstellen. Bei dieser Option ist keine Migration erforderlich.
Bietet ein SLA.

Zugriffssteuerung und zusätzliches Verhalten

Filestore-NFSv4.1-ACEs werden unter Linux mit den folgenden Befehlen verwaltet:
- nfs4_setfacl: Erstellt oder bearbeitet ACEs für eine Datei oder ein Verzeichnis.
- nfs4_getfacl: Listet die ACEs für eine Datei oder ein Verzeichnis auf.
Jede ACL unterstützt bis zu 50 ACEs. Sechs Einträge sind für automatisch generierte ACEs reserviert, die durch chmod-Vorgänge des Clients erstellt werden. Diese ACEs können nach der Erstellung geändert werden.

Die automatisch generierten ACE-Einträge, die die Modusbits darstellen, sind in der folgenden Reihenfolge der Priorität aufgeführt:
- DENY and ALLOW ACEs für OWNER@
- DENY and ALLOW ACEs für GROUP@
- DENY and ALLOW ACEs für EVERYONE@
  
  Wenn solche ACEs bereits vorhanden sind, werden sie wiederverwendet und entsprechend den neuen angewendeten Modusbits geändert.
Filestore-NFSv4.1 unterstützt die Überprüfung des erforderlichen Zugriffs nur im POSIX-Modus RWX (Lesen, Schreiben und Ausführen). Es wird nicht zwischen write append und write Vorgängen unterschieden, die den Inhalt oder die SETATTR Spezifikation ändern. Das Dienstprogramm nfs4_setfacl akzeptiert auch RWX als Abkürzung und aktiviert automatisch alle entsprechenden Flags.
Das Dienstprogramm nfs4_getfacl führt keine Übersetzung des Hauptkontos durch. Das nfs4_getfacl Dienstprogramm zeigt die numerischen UID und GUID für die Hauptkonten an. Daher werden die speziellen Hauptkonten OWNER@, GROUP@ und EVERYONE@ angezeigt.
Unabhängig davon, ob Managed Microsoft AD verwendet wird, müssen Administratoren bei der Verwendung von AUTH-SYS und dem nfs4_setfacl Dienstprogramm die numerische UID und GUID und nicht die Nutzernamen angeben. Dieses Dienstprogramm kann Namen nicht in diese Werte übersetzen. Wenn sie nicht korrekt angegeben werden, verwendet die Filestore-Instanz standardmäßig die nobody-ID.
Wenn Sie Schreibberechtigungen für eine Datei oder sogar für Dateien angeben, die von einem vererbten ACE betroffen sind, muss der ACE sowohl die w (Schreiben) als auch die a (Anhängen) Flags enthalten.
Bei der Überprüfung von Berechtigungen für SETATTR ähnelt die zurückgegebene Antwort POSIX in folgender Weise:
- Der Superuser oder ROOT-Nutzer kann alles tun.
- Nur der Dateieigentümer kann die Modusbits, ACLs und Zeitstempel auf eine bestimmte Zeit und Gruppe festlegen, z. B. auf eine der GUIDs, zu der er gehört.
- Andere Nutzer als der Dateieigentümer können die Attribute, einschließlich der ACL, ansehen.
Ein einzelner ACE umfasst sowohl effektive als auch nur vererbte Berechtigungen. Im Gegensatz zu anderen NFSv4.1-Implementierungen repliziert Filestore vererbte ACEs nicht automatisch, um zwischen effektiven und nur vererbten ACEs zu unterscheiden.

Einschränkungen von NFSv4.1

Das NFSv4.1-Protokoll hat die folgenden Einschränkungen:

Allgemeine Beschränkungen
- Beim Wiederherstellen einer Sicherung muss die neue Instanz dasselbe Protokoll wie die Quellinstanz verwenden.
- Bei Verwendung einer der authentifizierten Kerberos-Sicherheitseinstellungen können Nutzer mit einer gewissen Vorgangslatenz rechnen. Die Latenz nimmt mit jedem höheren Sicherheitsniveau zu.
- Das NFSv4.1-Protokoll unterstützt keine AUDIT- und ALARM-ACEs.
- Die Prüfung des Datenzugriffs wird nicht unterstützt.
GKE-Beschränkungen

Das NFSv4.1-Protokoll kann nicht mit Filestore-Multishares für GKE kombiniert werden. Diese Funktion wird nur mit NFSv3 unterstützt. Eine umfassende Liste der unterstützten GKE-Versionen für jede Filestore-Dienststufe und jedes Protokoll finden Sie in der Kompatibilitätstabelle unter Mit dem Filestore-CSI-Treiber auf Filestore-Instanzen zugreifen.
Managed Microsoft AD-Beschränkungen
- Löschen Sie nach der Konfiguration nicht die Managed Microsoft AD-Domain oder das Netzwerk-Peering. Andernfalls ist die Filestore-Freigabe nicht mehr zugänglich.
- Der einzige unterstützte Authentifizierungsmechanismus ist RPCSEC_GSS, der mit LDAP und Kerberos implementiert wird (beide in Managed Microsoft AD verfügbar).
- Wenn eine Filestore-Instanz über eine freigegebene VPC in Managed Microsoft AD eingebunden werden soll, müssen Sie gcloud oder die Filestore API und nicht die Google Cloudverwenden.
- Der Name der Managed Microsoft AD-Domain darf maximal 56 Zeichen haben.

Unterstützte Dateisystemprotokolle Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.