サポートされているファイル システム プロトコルについて

Filestore は、次のファイル システム プロトコルをサポートしています。

NFSv3

  • すべてのサービス階層で利用可能
  • クライアントとサーバー間の双方向通信をサポートします。
    • 複数のポートを使用します。
    • ネットワーク トラフィックとオペレーションの信頼チャネルを作成します。
  • 標準 POSIX アクセスのセットアップが簡単です。

NFSv4.1

  • ゾーン、リージョン、エンタープライズのサービスティアで利用できます。
  • Filestore CSI ドライバでサポートされ、ゾーン インスタンスまたはエンタープライズ インスタンスを作成して NFSv4.1 セマンティクスでマウントします。
  • 最新のファイアウォール構成と互換性があり、ネットワーク セキュリティのコンプライアンス要件をサポートします。
    • 通信は常にクライアントによって開始され、常に単一のサーバーポート 2049 を介して提供されます。
    • クライアントとサーバーの認証をサポートします。
      • LDAPKerberos を使用して実装される RPCSEC_GSS 認証(どちらも Managed Service for Microsoft Active Directory で利用可能)が必要です。
      • 認証(krb5)、メッセージ完全性チェック(krb5i)、転送中のデータ暗号化(krb5p)に対して LDAP と Kerberos をサポートします。
      • クライアントとサーバーに NFSv4.1 ファイルの ACL サポートを提供します。

各プロトコルは、特定のユースケースに最適です。次の表は、各プロトコルの仕様を比較したものです。

仕様 NFSv3 NFSv4.1
サポートされているサービスティア すべてのサービス階層 ゾーン、リージョン、エンタープライズ
双方向通信 いいえ。通信は常に、サーバーポート 2049 を使用してクライアントによって開始されます。
認証 × LDAPKerberos を使用して実装される RPCSEC_GSS 認証(どちらも Managed Service for Microsoft Active Directory で利用可能)が必要です。
ファイルまたはディレクトリのアクセス制御リスト(ACL)をサポートする × ○リストごとに最大 50 個のアクセス制御エントリ(ACE)をサポートします。
グループのサポート 最大 16 個のグループ Managed Microsoft AD に接続すると、無制限のグループをサポート。
セキュリティ設定 sys。信頼チャネルを作成します。 sys。信頼チャネルを作成します。krb5。クライアントとサーバーを認証します。krb5i。認証とメッセージ完全性チェックを行います。krb5p。認証、メッセージ完全性チェック、転送中のデータの暗号化を提供します。
オペレーションのレイテンシ なし 選択したセキュリティ レベルに応じて、オペレーションのレイテンシが増加します。
復元タイプ ステートレス ステートフル
ファイルのロック形式 Network Lock Manager(NLM)。ロックはクライアントによって制御されます。 リースベースのアドバイザリ ロック。ロックはサーバーによって制御されます。
クライアントの障害をサポートする ×
限定公開サービス アクセスをサポートする はい はい
Private Service Connect をサポートします。(許可リストに登録された一般提供版) いいえ はい

NFSv3 のメリット

NFSv3 プロトコルを使用すると、標準 POSIX アクセスのセットアップが簡単になります。

NFSv3 の制限事項

NFSv3 の制限事項のリストを次に示します。

  • クライアントとサーバーの認証と暗号化がない。
  • クライアント エラーの処理がありません。

NFSv4.1 の便益

NFSv4.1 プロトコルでは、RPCSEC_GSS 認証方式を使用します。これは、LDAPKerberos を使用して実装され、クライアントとサーバーの認証、メッセージ完全性チェック、転送中のデータの暗号化を提供します。

これらのセキュリティ機能によって、NFSv4.1 プロトコルは最新のネットワーク セキュリティ コンプライアンス要件との互換性があります。

  • すべての通信に単一のサーバーポート 2049 を使用するため、ファイアウォール構成を簡素化できます。

  • NFSv4.1 ファイル アクセス制御リスト(ACL)をサポートします。

    • 各 ACL は、ファイルまたはディレクトリごとに最大 50 個のアクセス制御エントリ(ACE)をサポートします。これには、継承レコードが含まれます。

  • Managed Microsoft AD 統合を使用する場合、無制限のグループをサポートします。

  • リースベースのアドバイザリ ロックによって、クライアントの障害処理を改善します。

    • クライアントは、サーバーとの継続的な接続を確認する必要があります。クライアントがリースを更新しない場合、サーバーはロックを解放し、ロックのリースを通じてアクセスをリクエストしている他のクライアントがファイルを利用できるようになります。NFSv3 では、ロック中にクライアントを削除すると、新しい GKE ノードなどの別のクライアントによってファイルがアクセスできなくなります。

  • ステートフル復元をサポートします。

    • NFSv3 とは異なり、NFSv4.1 は TCP ベースの接続ベースのステートフル プロトコルです。復元後、前のセッションのクライアントとサーバーの状態を再開できます。

Managed Service for Microsoft Active Directory

Managed Service for Microsoft Active Directory(Managed Microsoft AD)は厳格な要件ではありませんが、LDAP と Kerberos (両方が Filestore NFSv4.1 プロトコルの要件)の両方をサポートする唯一の Google Cloudマネージド ソリューションです。

管理者は、Managed Service for Microsoft Active Directory(マネージド Microsoft AD)を使用して LDAP と Kerberos を実装し、管理することを強くおすすめします。

Google Cloudマネージド ソリューションとして、Managed Microsoft AD には次の利点があります。

  • マルチリージョン デプロイを提供し、同じドメインで最大 5 つのリージョンをサポートします。

    • ユーザーとそれぞれのログイン サーバーをより近接させることで、レイテンシを短縮します。

  • NFSv4.1 実装の要件の POSIX RFC 2307RFC 2307bis をサポートします。

  • 一意識別子(UID)とグローバル一意識別子(GUID)のユーザー マッピングを自動化します。

  • ユーザーとグループは、マネージド Microsoft AD で作成するか、マネージド Microsoft AD に移行できます。

  • 管理者は、現在のオンプレミスの、セルフマネージド Active Directory(AD)と LDAP ドメインで、ドメインの信頼を作成できます。このオプションでは、移行は必要ありません。

  • SLA を提供します。

アクセス制御と追加の動作

  • Filestore NFSv4.1 ACE は、Linux で次のコマンドを使用して管理されます。

    • nfs4_setfacl: ファイルまたはディレクトリの ACE を作成または編集します。
    • nfs4_getfacl: ファイルまたはディレクトリの ACE を一覧表示します。

  • 各 ACL は最大 50 個の ACE をサポートします。6 つのエントリは、クライアント chmod オペレーションによって作成された自動生成 ACE 用に予約されています。これらの ACE は、作成後に変更できます。

    モードビットを表す自動生成 ACE レコードは、次の優先順位で一覧表示されます。

    • OWNER@ に対して DENY and ALLOW ACEs
    • GROUP@ に対して DENY and ALLOW ACEs

    • DENY and ALLOW ACEsEVERYONE@

      このような ACE がすでに存在する場合は、再利用され、新しく適用されたモードビットに従って変更されます。

  • Filestore NFSv4.1 は、POSIX モード RWX(読み取り、書き込み、実行)でのみ必要なアクセス権の確認をサポートしています。コンテンツまたは SETATTR 仕様を変更する write append オペレーションと write オペレーションは区別されません。nfs4_setfacl ユーティリティは、ショートカットとして RWX も受け入れ、適切なフラグをすべて自動的にオンにします。

  • nfs4_getfacl は、プリンシパルの変換を単独で行うことはありません。nfs4_getfacl ユーティリティは、プリンシパルの数値 UIDGUID を表示します。その結果、OWNER@GROUP@EVERYONE@ の特別なプリンシパルが表示されます。

  • Managed Microsoft AD を使用しているかどうかにかかわらず、AUTH-SYSnfs4_setfacl ユーティリティを使用する場合は、ユーザー名ではなく、数値の UIDGUID を指定する必要があります。このユーティリティでは、名前をこれらの値に変換できません。正しく指定されていない場合、Filestore インスタンスはデフォルトで nobody ID になります。

  • ファイルに対する書き込み権限を指定する場合、または継承された ACE の影響を受けるファイルの場合でも、ACE には w(書き込み)フラグと a(追加)フラグの両方を含める必要があります。

  • SETATTR の権限を確認すると、返されるレスポンスは次のように POSIX と似ています。

    • スーパーユーザーまたは ROOT ユーザーは、あらゆる操作を行うことができます。
    • ファイル所有者のみが、モードビット、ACL、タイムスタンプを特定の時刻とグループ(所属する GUID のいずれかなど)に設定できます。
    • ファイル オーナー以外のユーザーは、ACL などの属性を表示できます。

  • 1 つの ACE には、有効な権限と継承専用の権限の両方が含まれます。他の NFSv4.1 実装とは異なり、Filestore は有効な ACE と継承専用 ACE を区別するために、継承された ACE を自動的に複製することはありません。

NFSv4.1 の制限事項

NFSv4.1 プロトコルには次の制限があります。

  • 一般的な制限事項

    • バックアップを復元する場合、新しいインスタンスはソース インスタンスと同じプロトコルを使用する必要があります。
    • 認証済みの Kerberos セキュリティ設定を使用すると、オペレーションのレイテンシが発生する可能性があります。セキュリティ レベルが上がるごとにレイテンシが増加します。
    • NFSv4.1 プロトコルは、AUDIT ACE と ALARM ACE をサポートしていません。
    • データアクセスの監査はサポートされていません。

  • GKE の制限事項

    NFSv4.1 プロトコルは、GKE 向け Filestore マルチシェアと組み合わせることはできません。この機能は NFSv3 でのみサポートされています。各 Filestore サービスティアとプロトコルでサポートされている GKE バージョンの完全なリストについては、Filestore CSI ドライバを使用して Filestore インスタンスにアクセスするの互換性表をご覧ください。

  • Managed Microsoft AD の制限事項

    • 構成したら、マネージド Microsoft AD ドメインまたはネットワーク ピアリングを削除しないでください。そうすると、Filestore 共有にアクセスできなくなります。
    • サポートされている認証メカニズムは RPCSEC_GSS のみです。これは、LDAP と Kerberos(どちらも Managed Microsoft AD で利用可能)を使用して実装されます。
    • Filestore インスタンスを共有 VPC を通じて Managed Microsoft AD に参加させるには、 Google Cloudではなく、gcloud または Filestore API を使用する必要があります。
    • Managed Microsoft AD のドメイン名は 56 文字以下にする必要があります。

次のステップ