關於支援的檔案系統通訊協定

Filestore 支援下列檔案系統通訊協定:

NFSv3

  • 適用於所有服務層級。
  • 支援用戶端與伺服器之間的雙向通訊。
    • 使用多個通訊埠。
    • 為網路流量和作業建立信任管道。
  • 提供標準 POSIX 存取權的快速設定。

NFSv4.1

  • 適用於可用區、區域和企業服務層級
  • Filestore CSI 驅動程式支援建立區域或企業執行個體,並以 NFSv4.1 語意掛接這些執行個體。
  • 與現代防火牆設定相容,並支援網路安全法規遵循要求。
    • 通訊一律由用戶端發起,並一律透過單一伺服器通訊埠 2049 提供服務。
    • 支援用戶端和伺服器驗證。

每種通訊協定最適合的用途都不盡相同。下表比較各通訊協定的規格:

規格 NFSv3 NFSv4.1
支援的服務層級 所有服務層級 可用區、區域和企業
雙向通訊 否。通訊一律由用戶端使用伺服器通訊埠 2049 發起。
驗證 可以。需要使用 LDAPKerberos 實作的 RPCSEC_GSS 驗證,這兩者都可在 Managed Service for Microsoft Active Directory 中使用。
支援檔案或目錄存取控制清單 (ACL) 可以。每個清單最多支援 50 個存取控制項目 (ACE)。
群組支援 最多 16 個群組 連結至代管的 Microsoft AD 時,支援的群組數量不限。
安全性設定 sys. 建立信任管道。 sys. 建立信任管道。krb5。驗證用戶端和伺服器。krb5i。提供驗證和郵件完整性檢查。krb5p。提供驗證、訊息完整性檢查和傳輸中資料加密功能。
作業延遲 選取的安全等級越高,作業延遲時間就越長。
復原類型 無狀態 有狀態
檔案鎖定類型 網路鎖定管理員 (NLM)。鎖定作業由用戶端控制。 以租約為準的諮詢鎖定。鎖定狀態由伺服器控制。
支援用戶端故障
支援私人服務存取權
支援 Private Service Connect (已加入許可清單的正式發布版)

NFSv3 的優點

NFSv3 通訊協定可快速設定標準 POSIX 存取權。

NFSv3 限制

以下列出 NFSv3 的限制:

  • 缺少用戶端和伺服器驗證與加密機制。
  • 缺少用戶端失敗處理機制。

NFSv4.1 的優點

NFSv4.1 通訊協定使用 RPCSEC_GSS 驗證方法,透過 LDAPKerberos 實作,提供用戶端和伺服器驗證、訊息完整性檢查,以及傳輸中資料加密功能。

這些安全功能可讓 NFSv4.1 通訊協定符合現代網路安全法規要求:

  • 所有通訊都使用單一伺服器通訊埠 2049,有助於簡化防火牆設定。

  • 支援 NFSv4.1 檔案存取控制清單 (ACL)。

    • 每個 ACL 最多可為每個檔案或目錄支援 50 個存取控制項目 (ACE)。包括繼承記錄。

  • 使用 Managed Microsoft AD 整合時,支援的群組數量沒有限制。

  • 支援以租約為基礎的諮詢鎖定,可更妥善處理用戶端故障。

    • 用戶端必須驗證與伺服器的連線是否持續。如果用戶端未續租,伺服器會釋放鎖定,其他用戶端就能透過鎖定租約要求存取檔案。在 NFSv3 中,如果用戶端在鎖定狀態下遭到刪除,其他用戶端 (例如新的 GKE 節點) 就無法存取該檔案。

  • 支援有狀態復原。

    • 與 NFSv3 不同,NFSv4.1 是以 TCP 和連線為基礎的有狀態通訊協定。復原後,用戶端和伺服器在先前工作階段中的狀態可以繼續。

Managed Service for Microsoft Active Directory

雖然Managed Service for Microsoft Active Directory (Managed Microsoft AD) 並非必要條件,但這是唯一支援 LDAP 和 Kerberos 的 Google Cloud管理解決方案,而這兩者都是 Filestore NFSv4.1 通訊協定的必要條件。

強烈建議管理員使用 Managed Service for Microsoft Active Directory (Managed Microsoft AD),實作及管理 LDAP 和 Kerberos。

Managed Microsoft AD 是 Google Cloud代管解決方案,可提供下列優點:

  • 提供多區域部署功能,在同一個網域中最多支援五個區域。

    • 確保使用者和各自的登入伺服器距離較近,以減少延遲。

  • 支援 POSIX RFC 2307RFC 2307bis,以及 NFSv4.1 實作需求。

  • 自動建立專屬 ID (UID) 和全域專屬 ID (GUID) 使用者對應。

  • 您可以在 Managed Microsoft AD 中建立使用者和群組,也可以將使用者和群組遷移至 Managed Microsoft AD。

  • 管理員可以與目前的內部部署、自行管理的 Active Directory (AD) 和 LDAP 網域建立網域信任關係。使用這個選項時,不需要遷移資料。

  • 提供服務水準協議。

存取權控管和其他行為

  • 在 Linux 上,可以使用下列指令管理 Filestore NFSv4.1 ACE:

  • 每個 ACL 最多可支援 50 個 ACE。系統會保留六個項目,供用戶端 chmod 作業建立的自動產生 ACE 使用。建立後可以修改這些 ACE。

    系統會自動產生代表模式位元的 ACE 記錄,並依下列優先順序排列:

    • OWNER@DENY and ALLOW ACEs
    • GROUP@DENY and ALLOW ACEs

    • EVERYONE@ 專用的「DENY and ALLOW ACEs

      如果已有這類 ACE,系統會根據新套用的模式位元,重複使用並修改這些 ACE。

  • Filestore NFSv4.1 僅支援在 POSIX 模式 RWX (讀取、寫入和執行) 中檢查必要存取權。系統不會區分修改內容或 SETATTR 規格的 write appendwrite 作業。nfs4_setfacl 公用程式也接受 RWX 做為捷徑,並自動開啟所有適當的標記。

  • nfs4_getfacl 本身不會翻譯主體,這項公用程式會顯示主體的數值 UIDGUIDnfs4_getfacl因此,系統會顯示 OWNER@GROUP@EVERYONE@ 的特殊主體。

  • 無論是否使用 Managed Microsoft AD,管理員都必須使用 AUTH-SYSnfs4_setfacl 公用程式,並指定數值 UIDGUID,而非使用者名稱。這項公用程式無法將名稱轉換為這些值。如果未正確提供,Filestore 執行個體會預設為 nobody ID。

  • 為檔案指定寫入權限時,或甚至為受繼承 ACE 影響的檔案指定寫入權限時,ACE 必須同時包含 w (寫入) 和 a (附加) 旗標。

  • 檢查 SETATTR 的權限時,傳回的回應類似於 POSIX,如下所示:

    • 超級使用者或 ROOT 使用者可以執行任何操作。
    • 只有檔案擁有者可以將模式位元、ACL 和時間戳記設定為特定時間和群組,例如檔案所屬的其中一個 GUID
    • 檔案擁有者以外的使用者可以查看屬性,包括 ACL。

  • 單一 ACE 包含有效權限和僅限繼承的權限。與其他 NFSv4.1 實作項目不同,Filestore 不會自動複製繼承的 ACE,以區分有效和僅限繼承的 ACE。

NFSv4.1 限制

以下列出 NFSv4.1 的限制:

  • NFSv4.1 通訊協定無法與 Filestore multishares for GKE 搭配使用。

  • NFSv4.1 通訊協定不支援 AUDIT and ALARM ACEs。Filestore 不支援資料存取稽核。

  • 設定完成後,請勿刪除受管理 Microsoft AD 和網路對等互連。這麼做會導致 Filestore 共用區在掛接至用戶端時無法存取,進而導致資料無法存取。 Google Cloud 不會對管理員或使用者行為造成的服務中斷負責。

  • 使用任何經過驗證的 Kerberos 安全性設定時,使用者可能會遇到一些作業延遲。延遲率會因服務層級和指定的安全性設定而異。安全等級越高,延遲時間就越長。

  • 不支援資料存取稽核。

  • Filestore NFSv4.1 解決方案使用 RPCSEC_GSS 驗證,並透過 LDAPKerberos 實作,這兩者都可在 Managed Microsoft AD 中使用。與 NFSv3 類似,Filestore NFSv4.1 也可以在不使用任何驗證機制的情況下運作。系統不支援其他驗證機制。

  • 如要透過共用 VPC 將 Filestore 執行個體加入 Managed Microsoft AD,請使用 gcloud 或 Filestore API。您無法使用Google Cloud 控制台將執行個體加入 Managed Microsoft AD。

  • 受管理 Microsoft AD 網域名稱不得超過 56 個字元。

  • 如要建立企業執行個體,必須直接透過 Filestore API 執行作業。詳情請參閱服務層級

  • 還原備份時,新執行個體必須使用與來源執行個體相同的通訊協定。

後續步驟