Filestore admite los siguientes protocolos de sistemas de archivos:
NFSv3
- Disponible en todos los niveles de servicio.
- Admite la comunicación bidireccional entre el cliente y el servidor.
- Usa varios puertos.
- Crea un canal de confianza para el tráfico y las operaciones de red.
- Ofrece una configuración rápida para el acceso POSIX estándar.
NFSv4.1
- Disponible en niveles de servicio empresariales, regionales y zonales
- El controlador CSI de Filestore admite la creación de instancias zonales o empresariales y su montaje con semántica de NFSv4.1.
- Es compatible con las configuraciones de firewall modernas y satisface los requisitos de cumplimiento de seguridad de la red.
- La comunicación siempre la inicia el cliente y siempre se realiza a través de un solo puerto del servidor,
2049. - Admite la autenticación del cliente y del servidor.
- Requiere la autenticación RPCSEC_GSS, que se implementa con LDAP y Kerberos, ambos disponibles en el Servicio administrado para Microsoft Active Directory.
- Admite LDAP y Kerberos para la autenticación (
krb5), las verificaciones de integridad de mensajes (krb5i) y la encriptación de datos en tránsito (krb5p). - Ofrece compatibilidad con ACL de archivos NFSv4.1 para el cliente y el servidor.
- La comunicación siempre la inicia el cliente y siempre se realiza a través de un solo puerto del servidor,
Cada protocolo es más adecuado para casos de uso específicos. En la siguiente tabla, se comparan las especificaciones de cada protocolo:
| Especificación | NFSv3 | NFSv4.1 |
|---|---|---|
| Niveles de servicio admitidos | Todos los niveles de servicio | Zonal, regional y empresarial |
| Comunicación bidireccional | Sí | No. El cliente siempre inicia la comunicación con el puerto del servidor 2049. |
| Autenticación | No | Sí. Requiere autenticación RPCSEC_GSS, implementada con LDAP y Kerberos, ambos disponibles en el Servicio administrado para Microsoft Active Directory. |
| Admite Listas de control de acceso (LCA) de archivos o directorios | No | Sí. Admite hasta 50 entradas de control de acceso (ACE) por lista. |
| Compatibilidad con grupos | Hasta 16 grupos | Se admite una cantidad ilimitada de grupos cuando se conecta a Microsoft AD administrado. |
| Parámetro de configuración de seguridad | sys: Crea un canal de confianza. |
sys: Crea un canal de confianza. krb5. Autentica el cliente y el servidor. krb5i. Proporciona verificaciones de autenticación y de integridad de mensajes.krb5p. Proporciona autenticación, verificaciones de integridad de mensajes y encriptación de datos en tránsito. |
| Latencia de las operaciones | Ninguno | La latencia de las operaciones aumenta con el nivel de seguridad seleccionado. |
| Tipo de recuperación | Sin estado | Con estado |
| Tipo de bloqueo de archivos | Administrador de bloqueo de red (NLM). El cliente controla el bloqueo. | Es un bloqueo de asesoramiento basado en el arrendamiento. El servidor controla el bloqueo. |
| Admite fallas del cliente | No | Sí |
| Admite el acceso privado a los servicios | Sí | Sí |
| Admite Private Service Connect (DG en la lista de entidades permitidas) | No | Sí |
Beneficios de NFSv3
El protocolo NFSv3 ofrece una configuración rápida para el acceso POSIX estándar.
Limitaciones de NFSv3
A continuación, se incluye una lista de las limitaciones de NFSv3:
- No tiene autenticación ni encriptación del cliente y del servidor.
- No controla los errores del cliente.
Beneficios de NFSv4.1
El protocolo NFSv4.1 usa el método de autenticación RPCSEC_GSS, que se implementa con LDAP y Kerberos para proporcionar autenticación de cliente y servidor, verificaciones de integridad de mensajes y encriptación de datos en tránsito.
Estas capacidades de seguridad hacen que el protocolo NFSv4.1 sea compatible con los requisitos de cumplimiento de seguridad de red modernos:
Usa un solo puerto de servidor,
2049, para toda la comunicación, lo que ayuda a simplificar las configuraciones del firewall.Admite listas de control de acceso (LCA) de archivos NFSv4.1.
- Cada LCA admite hasta 50 entradas de control de acceso (ECA) por archivo o directorio. Esto incluye los registros de herencia.
Compatibilidad con una cantidad ilimitada de grupos cuando se usa la integración de Microsoft AD administrado
Se admite un mejor control de errores del cliente con el bloqueo asesor basado en arrendamiento.
- El cliente debe verificar la conexión continua con el servidor. Si el cliente no renueva el arrendamiento, el servidor libera el bloqueo y el archivo queda disponible para cualquier otro cliente que solicite acceso a través de un arrendamiento de bloqueo. En NFSv3, si se borra un cliente mientras está bloqueado, otro cliente, como un nodo nuevo de GKE, no puede acceder al archivo.
Admite la recuperación con estado.
- A diferencia de NFSv3, NFSv4.1 es un protocolo con estado basado en TCP y en conexiones. El estado del cliente y del servidor en la sesión anterior se puede reanudar después de la recuperación.
Servicio administrado para Microsoft Active Directory
Si bien el Servicio administrado para Microsoft Active Directory (Microsoft AD administrado) no es un requisito estricto, es la única solución administrada por Google Cloudque admite LDAP y Kerberos, ambos requisitos para el protocolo NFSv4.1 de Filestore.
Se recomienda a los administradores que usen el Servicio administrado para Microsoft Active Directory (Microsoft AD administrado) para implementar y administrar LDAP y Kerberos.
Como solución administrada por Google Cloud, Microsoft AD administrado proporciona los siguientes beneficios:
Ofrece implementación en varias regiones, con compatibilidad para hasta cinco regiones en el mismo dominio.
- Reduce la latencia, ya que garantiza que los usuarios y sus respectivos servidores de acceso estén más cerca.
Es compatible con POSIX RFC 2307 y RFC 2307bis, requisitos para la implementación de NFSv4.1.
Automatiza la asignación de usuarios a identificadores únicos (UID) y a identificadores únicos globales (GUID).
Los usuarios y los grupos se pueden crear en Microsoft AD administrado o migrar a él.
Los administradores pueden crear una confianza de dominio con el dominio actual de Active Directory (AD) y LDAP autoadministrado y local. Con esta opción, no es necesaria la migración.
Proporciona un ANS.
Control de acceso y comportamientos adicionales
Los ACE de NFSv4.1 de Filestore se administran en Linux con los siguientes comandos:
nfs4_setfacl: Crea o edita ACE en un archivo o directorio.nfs4_getfacl: Enumera las ACE en un archivo o directorio.
Cada ACL admite hasta 50 ACE. Se reservan seis entradas para los ACE generados automáticamente creados por las operaciones del cliente
chmod. Estos ACE se pueden modificar después de la creación.Los registros de ACE generados automáticamente que representan los bits de modo se enumeran en el siguiente orden de prioridad:
DENY and ALLOW ACEspara elOWNER@DENY and ALLOW ACEspara elGROUP@DENY and ALLOW ACEsparaEVERYONE@Si ya existen tales ACE, se volverán a usar y se modificarán según los nuevos bits de modo aplicados.
Filestore NFSv4.1 admite la verificación del acceso requerido solo en el modo POSIX
RWX(lectura, escritura y ejecución). No diferenciará entre las operacioneswrite appendywriteque modifican el contenido o la especificación deSETATTR. La utilidadnfs4_setfacltambién aceptaRWXcomo un atajo y activa automáticamente todas las marcas adecuadas.El objeto
nfs4_getfaclno realiza ninguna traducción del principal por sí solo. La utilidadnfs4_getfaclmostrará los valores numéricosUIDyGUIDpara las entidades principales. Como resultado, se mostrarán los principales especiales deOWNER@,GROUP@yEVERYONE@.Independientemente de si se usa Microsoft AD administrado, cuando se trabaja con
AUTH-SYSy la utilidadnfs4_setfacl, los administradores deben especificar los valores numéricosUIDyGUID, no los nombres de usuario. Esta utilidad no puede traducir nombres a estos valores. Si no se proporciona correctamente, la instancia de Filestore usará el IDnobodyde forma predeterminada.Cuando especifiques permisos de escritura para un archivo o incluso para archivos afectados por una ACE heredada, la ACE debe incluir las marcas
w(escritura) ya(agregar).Cuando se verifican los permisos para
SETATTR, la respuesta que se devuelve es similar aPOSIXde la siguiente manera:- El superusuario o el usuario
ROOTpuede hacer cualquier cosa. - Solo el propietario del archivo puede establecer los bits de modo, las LCA y las marcas de tiempo en un momento y grupo específicos, como uno de los
GUIDs al que pertenece. - Los usuarios que no sean propietarios del archivo pueden ver los atributos, incluida la LCA.
- El superusuario o el usuario
Un solo ACE abarca los permisos efectivos y los de solo herencia. A diferencia de otras implementaciones de NFSv4.1, Filestore no replicará automáticamente las ACE heredadas para distinguir entre las ACE efectivas y las ACE de solo herencia.
Limitaciones de NFSv4.1
A continuación, se incluye una lista de las limitaciones de NFSv4.1:
El protocolo NFSv4.1 no se puede combinar con los recursos compartidos de Filestore para GKE.
El protocolo NFSv4.1 no admite
AUDIT and ALARM ACEs. Filestore no admite la auditoría de acceso a los datos.Una vez que lo configures, no borres el intercambio de tráfico de red ni Microsoft AD administrado. Si lo haces, no se podrá acceder al recurso compartido de Filestore mientras esté activado en un cliente, lo que hará que no se pueda acceder a tus datos. Google Cloud no se hace responsable de las interrupciones causadas por las acciones del administrador o del usuario.
Cuando se usa cualquiera de los parámetros de configuración de seguridad autenticados de Kerberos, los usuarios pueden esperar cierta latencia en las operaciones. Las tasas de latencia varían según el nivel de servicio y el parámetro de configuración de seguridad especificados. La latencia aumenta con cada nivel de seguridad.
No se admite la auditoría de acceso a los datos.
La solución NFSv4.1 de Filestore usa la autenticación RPCSEC_GSS, que se implementa con LDAP y Kerberos, ambos disponibles en Microsoft AD administrado. Filestore NFSv4.1 también se puede usar sin ningún mecanismo de autenticación, de manera similar a NFSv3. No se admiten otros mecanismos de autenticación.
Si deseas que una instancia de Filestore se una a Microsoft AD administrado a través de una VPC compartida, debes usar
gcloudo la API de Filestore. No puedes unir la instancia a Microsoft AD administrado con la consola deGoogle Cloud .El nombre de dominio de Microsoft AD administrado no debe superar los 56 caracteres.
Para crear una instancia empresarial, debes ejecutar operaciones directamente a través de la API de Filestore. Para obtener más información, consulta Niveles de servicio.
Cuando restableces una copia de seguridad, la instancia nueva debe usar el mismo protocolo que la instancia de origen.