지원되는 파일 시스템 프로토콜 정보

Filestore는 다음 파일 시스템 프로토콜을 지원합니다.

NFSv3

• 모든 서비스 등급에서 사용할 수 있습니다.
• 클라이언트와 서버 간의 양방향 통신을 지원합니다.
  • 여러 포트를 사용합니다.
  • 네트워크 트래픽 및 작업을 위한 신뢰 채널을 만듭니다.
• 표준 POSIX 액세스를 위한 빠른 설정을 제공합니다.

NFSv4.1

• 영역, 리전, 엔터프라이즈 서비스 등급에서 사용할 수 있습니다.
• Filestore CSI 드라이버에서 영역 또는 엔터프라이즈 인스턴스를 만들고 NFSv4.1 시맨틱스로 마운트하는 데 지원됩니다.
• 최신 방화벽 구성과 호환되며 네트워크 보안 규정 준수 요구사항을 지원합니다.
  • 통신은 항상 클라이언트에서 시작되며 항상 단일 서버 포트 2049를 통해 제공됩니다.
  • 클라이언트 및 서버 인증을 지원합니다.
    • Microsoft Active Directory용 관리형 서비스에서 사용할 수 있는 LDAP 및 Kerberos를 사용하여 구현되는 RPCSEC_GSS 인증이 필요합니다.
    • 인증 (krb5), 메시지 무결성 검사 (krb5i), 전송 중 데이터 암호화 (krb5p)에 LDAP 및 Kerberos를 지원합니다.
    • 클라이언트와 서버에 NFSv4.1 파일 ACL 지원을 제공합니다.

각 프로토콜은 특정 사용 사례에 가장 적합합니다. 다음 표에서는 각 프로토콜의 사양을 비교합니다.

사양	NFSv3	NFSv4.1
지원되는 서비스 등급	모든 서비스 등급	영역, 리전, 엔터프라이즈
양방향 통신	예	아니요. 통신은 항상 서버 포트 2049를 사용하는 클라이언트에 의해 시작됩니다.
인증	아니요	예. Microsoft Active Directory용 관리형 서비스에서 모두 사용할 수 있는 LDAP 및 Kerberos를 사용하여 구현된 RPCSEC_GSS 인증이 필요합니다.
파일 또는 디렉터리 액세스 제어 목록 (ACL) 지원	아니요	예. 목록당 최대 50개의 액세스 제어 항목 (ACE)을 지원합니다.
그룹 지원	최대 16개 그룹	관리형 Microsoft AD에 연결된 경우 무제한 그룹 지원
보안 설정	sys. 신뢰 채널을 만듭니다.	sys. 신뢰 채널을 만듭니다. krb5 클라이언트와 서버를 인증합니다. krb5i. 인증 및 메시지 무결성 검사를 제공합니다.krb5p 인증, 메시지 무결성 검사, 전송 중 데이터 암호화를 제공합니다.
작업 지연 시간	없음	선택한 보안 수준에 따라 작업 지연 시간이 증가합니다.
복구 유형	스테이트리스(Stateless)	스테이트풀(Stateful)
파일 잠금 유형	네트워크 잠금 관리자 (NLM) 잠금은 클라이언트에서 제어합니다.	임대 기반 권고 잠금 잠금은 서버에 의해 제어됩니다.
클라이언트 오류 지원	아니요	예
비공개 서비스 액세스 지원	예	예
Private Service Connect 지원(허용 목록에 추가된 GA)	아니요	예

NFSv3의 이점

NFSv3 프로토콜은 표준 POSIX 액세스를 위한 빠른 설정을 제공합니다.

NFSv3 제한사항

다음은 NFSv3 제한사항 목록입니다.

• 클라이언트 및 서버 인증과 암호화가 부족합니다.
• 클라이언트 오류 처리가 부족합니다.

NFSv4.1의 이점

NFSv4.1 프로토콜은 LDAP 및 Kerberos를 사용하여 구현된 RPCSEC_GSS 인증 방법을 사용하여 클라이언트 및 서버 인증, 메시지 무결성 검사, 전송 중 데이터 암호화를 제공합니다.

이러한 보안 기능은 NFSv4.1 프로토콜을 최신 네트워크 보안 규정 준수 요구사항과 호환되게 합니다.

• 모든 통신에 단일 서버 포트(2049)를 사용하여 방화벽 구성을 간소화합니다.

• NFSv4.1 파일 액세스 제어 목록 (ACL)을 지원합니다.

  • 각 ACL은 파일 또는 디렉터리당 최대 50개의 액세스 제어 항목 (ACE)을 지원합니다. 여기에는 상속 기록이 포함됩니다.

• 관리형 Microsoft AD 통합을 사용할 때 무제한 그룹 지원

• 임대 기반 권고 잠금으로 더 나은 클라이언트 실패 처리를 지원합니다.

  • 클라이언트는 서버와의 연결이 계속되는지 확인해야 합니다. 클라이언트가 리스를 갱신하지 않으면 서버는 잠금을 해제하고 잠금 리스를 통해 액세스를 요청하는 다른 클라이언트가 파일을 사용할 수 있게 됩니다. NFSv3에서 클라이언트가 잠겨 있는 동안 삭제되면 새 GKE 노드와 같은 다른 클라이언트가 파일에 액세스할 수 없습니다.

• 스테이트풀 복구를 지원합니다.

  • NFSv3와 달리 NFSv4.1은 TCP 및 연결 기반 상태 저장 프로토콜입니다. 복구 후 이전 세션의 클라이언트와 서버 상태를 재개할 수 있습니다.

Microsoft Active Directory용 관리형 서비스

Microsoft Active Directory용 관리형 서비스 (관리형 Microsoft AD)가 엄격한 요구사항은 아니지만 LDAP와 Kerberos를 모두 지원하는 유일한 Google Cloud관리 솔루션입니다. LDAP와 Kerberos는 모두 Filestore NFSv4.1 프로토콜의 요구사항입니다.

관리자는 Microsoft Active Directory용 관리형 서비스 (관리형 Microsoft AD)를 사용하여 LDAP 및 Kerberos를 구현하고 관리하는 것이 좋습니다.

Google Cloud관리 솔루션인 관리형 Microsoft AD는 다음과 같은 이점을 제공합니다.

• 동일한 도메인에서 최대 5개의 리전을 지원하는 멀티 리전 배포를 제공합니다.

  • 사용자와 해당 로그인 서버가 더 가까운 거리에 있도록 하여 지연 시간을 줄입니다.

• NFSv4.1 구현 요구사항인 POSIX RFC 2307 및 RFC 2307bis를 지원합니다.

• 고유 식별자 (UID) 및 전역 고유 식별자 (GUID) 사용자 매핑을 자동화합니다.

• 사용자와 그룹은 관리형 Microsoft AD에서 생성하거나 관리형 Microsoft AD로 이전할 수 있습니다.

• 관리자는 현재 온프레미스, 자체 관리, Active Directory (AD) 및 LDAP 도메인과 도메인 트러스트를 만들 수 있습니다. 이 옵션을 사용하면 마이그레이션이 필요하지 않습니다.

• SLA를 제공합니다.

액세스 제어 및 추가 동작

• Filestore NFSv4.1 ACE는 다음 명령어를 사용하여 Linux에서 관리됩니다.

  • nfs4_setfacl: 파일 또는 디렉터리의 ACE를 만들거나 수정합니다.
  • nfs4_getfacl: 파일 또는 디렉터리의 ACE를 나열합니다.

• 각 ACL은 최대 50개의 ACE를 지원합니다. 6개의 항목은 클라이언트 chmod 작업에서 생성된 자동 생성 ACE를 위해 예약되어 있습니다. 이러한 ACE는 생성 후 수정할 수 있습니다.

  모드 비트를 나타내는 자동 생성된 ACE 레코드는 다음 우선순위 순서로 나열됩니다.

  • OWNER@의 DENY and ALLOW ACEs
  • GROUP@의 DENY and ALLOW ACEs

  • EVERYONE@의 DENY and ALLOW ACEs

    이러한 ACE가 이미 있는 경우 다시 사용되고 새로 적용된 모드 비트에 따라 수정됩니다.

• Filestore NFSv4.1은 POSIX 모드 RWX (읽기, 쓰기, 실행)에서만 필요한 액세스 권한 확인을 지원합니다. 콘텐츠 또는 SETATTR 사양을 수정하는 write append 작업과 write 작업을 구분하지 않습니다. nfs4_setfacl 유틸리티는 RWX를 단축키로 허용하고 적절한 플래그를 모두 자동으로 사용 설정합니다.

• nfs4_getfacl는 자체적으로 주 구성원을 변환하지 않습니다. nfs4_getfacl 유틸리티는 주체의 숫자 UID 및 GUID를 표시합니다. 따라서 OWNER@, GROUP@, EVERYONE@의 특수 주 구성원이 표시됩니다.

• 관리형 Microsoft AD 사용 여부와 관계없이 AUTH-SYS 및 nfs4_setfacl 유틸리티를 사용할 때 관리자는 사용자 이름이 아닌 숫자 UID 및 GUID를 지정해야 합니다. 이 유틸리티는 이름을 이러한 값으로 변환할 수 없습니다. 올바르게 제공되지 않으면 Filestore 인스턴스가 기본적으로 nobody ID로 설정됩니다.

• 파일에 대한 쓰기 권한을 지정하거나 상속된 ACE의 영향을 받는 파일을 지정할 때 ACE에는 w (쓰기) 및 a (추가) 플래그가 모두 포함되어야 합니다.

• SETATTR의 권한을 확인할 때 반환되는 응답은 다음과 같이 POSIX와 비슷합니다.

  • 수퍼유저 또는 ROOT 사용자는 모든 작업을 할 수 있습니다.
  • 파일 소유자만 모드 비트, ACL, 타임스탬프를 속한 GUID 중 하나와 같은 특정 시간과 그룹으로 설정할 수 있습니다.
  • 파일 소유자가 아닌 사용자는 ACL을 비롯한 속성을 볼 수 있습니다.

• 단일 ACE에는 유효 권한과 상속 전용 권한이 모두 포함됩니다. 다른 NFSv4.1 구현과 달리 Filestore는 유효한 ACE와 상속 전용 ACE를 구분하기 위해 상속된 ACE를 자동으로 복제하지 않습니다.

NFSv4.1 제한사항

다음은 NFSv4.1 제한사항 목록입니다.

• NFSv4.1 프로토콜은 GKE용 Filestore 멀티 공유와 결합할 수 없습니다.

• NFSv4.1 프로토콜은 AUDIT and ALARM ACEs를 지원하지 않습니다. Filestore는 데이터 액세스 분석을 지원하지 않습니다.

• 구성한 후에는 관리형 Microsoft AD와 네트워크 피어링을 삭제하지 마세요. 이렇게 하면 클라이언트에 마운트된 동안 Filestore 공유에 액세스할 수 없게 되어 데이터에 액세스할 수 없게 됩니다. Google Cloud 는 관리자 또는 사용자 작업으로 인해 발생하는 서비스 중단에 대해 책임을 지지 않습니다.

• 인증된 Kerberos 보안 설정을 사용하는 경우 사용자는 일부 작업 지연 시간을 예상할 수 있습니다. 지연 시간 비율은 지정된 서비스 등급 및 보안 설정에 따라 다릅니다. 보안 수준이 높아질수록 지연 시간이 증가합니다.

• 데이터 액세스 감사는 지원되지 않습니다.

• Filestore NFSv4.1 솔루션은 관리형 Microsoft AD에서 사용할 수 있는 LDAP 및 Kerberos를 사용하여 구현되는 RPCSEC_GSS 인증을 사용합니다. Filestore NFSv4.1은 NFSv3와 마찬가지로 인증 메커니즘 없이도 사용할 수 있습니다. 다른 인증 메커니즘은 지원되지 않습니다.

• 공유 VPC를 통해 Filestore 인스턴스가 관리형 Microsoft AD에 참여하도록 하려면 gcloud 또는 Filestore API를 사용해야 합니다.Google Cloud 콘솔을 사용하여 인스턴스를 관리형 Microsoft AD에 조인할 수 없습니다.

• 관리 Microsoft AD 도메인 이름은 56자를 초과할 수 없습니다.

• 엔터프라이즈 인스턴스를 만들려면 Filestore API를 통해 직접 작업을 실행해야 합니다. 자세한 내용은 서비스 등급을 참고하세요.

• 백업을 복원할 때 새 인스턴스는 소스 인스턴스와 동일한 프로토콜을 사용해야 합니다.

다음 단계

• NFSv4.1 프로토콜 구성