Filestore supporta i seguenti protocolli di file system:
NFSv3
- Disponibile in tutti i livelli di servizio.
- Supporta la comunicazione bidirezionale tra client e server.
- Utilizza più porte.
- Crea un canale attendibile per il traffico e le operazioni di rete.
- Offre la configurazione rapida per l'accesso POSIX standard.
NFSv4.1 (anteprima)
- Disponibile nei livelli di servizio a livello di zona, di regione e aziendali.
- Compatibile con configurazioni firewall moderne e supporta i requisiti di sicurezza della rete.
- La comunicazione è sempre avviata dal client e sempre servita tramite
un'unica porta del server,
2049. - Supporta l'autenticazione di client e server.
- Richiede l'autenticazione RPCSEC_GSS implementata tramite LDAP e Kerberos, entrambe disponibili in Managed Service for Microsoft Active Directory.
- Supporta LDAP e Kerberos per autenticazione (
krb5), controlli di integrità dei messaggi (krb5i) e crittografia dei dati in transito (krb5p). - Offre il supporto per i file ACL NFSv4.1 per il client e il server.
- La comunicazione è sempre avviata dal client e sempre servita tramite
un'unica porta del server,
Ogni protocollo è il più adatto a casi d'uso specifici. La tabella seguente mette a confronto le specifiche di ciascun protocollo:
| Specifica | NFSv3 | NFSv4.1 |
|---|---|---|
| Livelli di servizio supportati | Tutti i livelli di servizio | A livello di zona, di regione e di livello enterprise |
| Comunicazione bidirezionale | Sì | No. La comunicazione viene sempre avviata dal client utilizzando la porta del server 2049. |
| Autenticazione | No | Sì. Richiede l'autenticazione RPCSEC_GSS, implementata tramite LDAP e Kerberos, entrambe disponibili in Managed Service for Microsoft Active Directory. |
| Supporta elenchi di controllo dell'accesso (ACL) per file o directory | No | Sì. Supporta fino a 50 voci di controllo dell'accesso (ACE) per elenco. |
| Supporto per i gruppi | Fino a 16 gruppi | Supporto per gruppi illimitati quando si è connessi a Managed Microsoft AD. |
| Impostazione di sicurezza | sys. Crea un canale attendibile. |
sys. Crea un canale attendibile. krb5. Autentica il client e il server. krb5i. Fornisce controlli di autenticazione e integrità del messaggio.krb5p. Fornisce autenticazione, controlli di integrità del messaggio e crittografia dei dati in transito. |
| Latenza operazioni | Nessuna | La latenza delle operazioni aumenta in base al livello di sicurezza selezionato. |
| Tipo di recupero | Stateless | Stateful |
| Tipo di blocco dei file | Network Lock Manager (NLM). Il blocco è controllato dal client. | Blocco degli avvisi basati sul leasing. Il blocco è controllato dal server. |
| Supporta gli errori del client | No | Sì |
| Supporta la connessione ai servizi privati (PSC) | No | No |
Vantaggi di NFSv3
Il protocollo NFSv3 offre una rapida configurazione per l'accesso POSIX standard.
Limitazioni NFSv3
Di seguito è riportato un elenco delle limitazioni di NFSv3:
- Manca il supporto per la connessione privata ai servizi (PSC).
- Mancano l'autenticazione e la crittografia client e server.
- Manca la gestione degli errori del client.
Vantaggi di NFSv4.1
Il protocollo NFSv4.1 utilizza il metodo RPCSEC_GSS Authentication, implementato tramite LDAP e Kerberos per fornire l'autenticazione client e server, i controlli di integrità dei messaggi e la crittografia dei dati in transito.
Queste funzionalità di sicurezza rendono il protocollo NFSv4.1 compatibile con i moderni requisiti di conformità alla sicurezza di rete:
Utilizza un'unica porta del server,
2049, per tutte le comunicazioni, contribuendo a semplificare le configurazioni del firewall.Supporto per gruppi illimitati quando si utilizza l'integrazione di Microsoft Active Directory gestito.
Supporta una migliore gestione dei guasti del cliente con il blocco degli avvisi basato sul leasing.
- Il client deve verificare la continuità della connessione con il server. Se il client non rinnova il lease, il server rilascia il blocco e il file diventa disponibile per qualsiasi altro client che richiede l'accesso tramite leasing del blocco. In NFSv3, se un client viene eliminato mentre è in stato di blocco, un altro client non potrà accedere al file, ad esempio un nuovo nodo GKE.
Supporta il recupero stateful.
- A differenza di NFSv3, NFSv4.1 è un protocollo stateful basato su TCP e connessione. È possibile riprendere lo stato del client e del server nella sessione precedente dopo il ripristino.
Managed Service for Microsoft Active Directory
Sebbene Managed Service for Microsoft Active Directory (Managed Microsoft AD) non sia un requisito rigoroso, è l'unica soluzione gestita da Google Cloud a supportare sia LDAP che Kerberos, entrambi requisiti per il protocollo NFSv4.1 di Filestore.
Consigliamo vivamente agli amministratori di utilizzare Managed Service for Microsoft Active Directory (Managed Microsoft AD) per implementare e gestire LDAP e Kerberos.
Essendo una soluzione gestita da Google Cloud, Microsoft Active Directory gestito offre i seguenti vantaggi:
Offre il deployment in più regioni, supportando fino a cinque regioni nello stesso dominio.
- Riduce la latenza assicurando che gli utenti e i rispettivi server di accesso siano vicini.
Supporta POSIX RFC 2307 e RFC 2307bis, i requisiti per l'implementazione di NFSv4.1.
Automatizza la mappatura degli utenti dell'identificatore univoco (UID) e dell'identificatore univoco globale (GUID).
È possibile creare utenti e gruppi in Microsoft Active Directory gestito o eseguirne la migrazione.
Gli amministratori possono creare un trust di dominio con il dominio attuale on-premise, autogestito, Active Directory (AD) e LDAP. Con questa opzione, non è necessaria la migrazione.
Fornisce uno SLA.
Limitazioni di NFSv4.1
Di seguito è riportato un elenco delle limitazioni di NFSv4.1:
Il protocollo NFSv4.1 non può essere combinato con le seguenti funzionalità:
Dopo la configurazione, non eliminare Microsoft Active Directory gestito e il peering di rete. Questo fa sì che la condivisione Filestore sia inaccessibile mentre è montata su un client, rendendo inaccessibili i dati. Google Cloud non è responsabile per interruzioni causate da azioni degli amministratori o degli utenti.
Quando utilizzano una qualsiasi delle impostazioni di sicurezza Kerberos autenticate, gli utenti possono aspettarsi una latenza delle operazioni. Le percentuali di latenza variano in base al livello di servizio e all'impostazione di sicurezza specificati. La latenza aumenta a ogni livello di sicurezza crescente.
Il controllo dell'accesso ai dati non è supportato.
La soluzione Filestore NFSv4.1 richiede l'autenticazione RPCSEC_GSS. Questo metodo di autenticazione viene implementato solo utilizzando LDAP e Kerberos, entrambi disponibili in Managed Microsoft AD. Non sono supportati altri meccanismi di autenticazione.
Manca il supporto per la connessione privata ai servizi (PSC).
Se desideri che un'istanza Filestore unisca Microsoft AD gestito tramite un VPC condiviso, devi utilizzare
gcloudo l'API Filestore. Non puoi unire l'istanza a Microsoft Active Directory gestito utilizzando la console Google Cloud.Il nome di dominio Microsoft Active Directory gestito non deve superare i 56 caratteri.
Per creare un'istanza aziendale, esegui le operazioni direttamente tramite l'API Filestore. Per maggiori informazioni, consulta Livelli di servizio.