サポートされているファイル システム プロトコルについて

Filestore は、次のファイル システム プロトコルをサポートしています。

NFSv3

  • すべてのサービス階層で利用可能
  • クライアントとサーバー間の双方向通信をサポートします。
    • 複数のポートを使用します。
    • ネットワーク トラフィックとオペレーションの信頼チャネルを作成します。
  • 標準 POSIX アクセスのセットアップが簡単です。

NFSv4.1

  • ゾーン、リージョン、エンタープライズのサービスティアで利用できます。
  • Filestore CSI ドライバでサポートされ、ゾーン インスタンスまたはエンタープライズ インスタンスを作成して NFSv4.1 セマンティクスでマウントします。
  • 最新のファイアウォール構成と互換性があり、ネットワーク セキュリティ コンプライアンス要件をサポートします。
    • 通信は常にクライアントによって開始され、常に単一のサーバーポート 2049 を介して提供されます。
    • クライアントとサーバーの認証をサポートします。
      • LDAPKerberos を使用して実装される RPCSEC_GSS 認証(どちらも Managed Service for Microsoft Active Directory で利用可能)が必要です。
      • 認証(krb5)、メッセージ完全性チェック(krb5i)、転送中のデータ暗号化(krb5p)に対して LDAP と Kerberos をサポートします。
      • クライアントとサーバーに NFSv4.1 ファイルの ACL サポートを提供します。

各プロトコルは、特定のユースケースに最適です。次の表は、各プロトコルの仕様を比較したものです。

仕様 NFSv3 NFSv4.1
サポートされているサービスティア すべてのサービス階層 ゾーン、リージョン、エンタープライズ
双方向通信 いいえ。通信は常に、サーバーポート 2049 を使用してクライアントによって開始されます。
認証 × LDAPKerberos を使用して実装される RPCSEC_GSS 認証(どちらも Managed Service for Microsoft Active Directory で利用可能)が必要です。
ファイルまたはディレクトリのアクセス制御リスト(ACL)をサポートする × ○リストごとに最大 50 個のアクセス制御エントリ(ACE)をサポートします。
グループのサポート 最大 16 個のグループ Managed Microsoft AD に接続すると、無制限のグループをサポート。
セキュリティ設定 sys。信頼チャネルを作成します。 sys。信頼チャネルを作成します。krb5。クライアントとサーバーを認証します。krb5i。認証とメッセージ完全性チェックを行います。krb5p。認証、メッセージ完全性チェック、転送中のデータの暗号化を提供します。
オペレーションのレイテンシ なし 選択したセキュリティ レベルに応じて、オペレーションのレイテンシが増加します。
復元タイプ ステートレス ステートフル
ファイルのロック形式 ネットワーク ロック マネージャー(NLM)。ロックはクライアントによって制御されます。 リースベースのアドバイザリ ロック。ロックはサーバーによって制御されます。
クライアントの障害をサポートする ×
限定公開サービス アクセスをサポートする
Private Service Connect (許可リストに登録済みの一般提供)をサポート いいえ

NFSv3 の便益

NFSv3 プロトコルを使用すると、標準 POSIX アクセスのセットアップを簡単に行うことができます。

NFSv3 の制限事項

NFSv3 の制限事項のリストを次に示します。

  • クライアントとサーバーの認証と暗号化がない。
  • クライアントの障害処理がありません。

NFSv4.1 の便益

NFSv4.1 プロトコルでは、RPCSEC_GSS 認証方式を使用します。これは、LDAPKerberos を使用して実装され、クライアントとサーバーの認証、メッセージ完全性チェック、転送中のデータの暗号化を提供します。

これらのセキュリティ機能によって、NFSv4.1 プロトコルは最新のネットワーク セキュリティ コンプライアンス要件との互換性があります。

  • すべての通信に単一のサーバーポート 2049 を使用するため、ファイアウォール構成を簡素化できます。

  • NFSv4.1 ファイルのアクセス制御リスト(ACL)をサポートします。

    • 各 ACL は、ファイルまたはディレクトリごとに最大 50 個のアクセス制御エントリ(ACE)をサポートします。これには、継承レコードが含まれます。

  • Managed Microsoft AD 統合を使用する場合、無制限のグループをサポートします。

  • リースベースのアドバイザリ ロックによって、クライアントの障害処理を改善します。

    • クライアントは、サーバーとの継続的な接続を確認する必要があります。クライアントがリースを更新しない場合、サーバーはロックを解放し、ロックのリースを通じてアクセスをリクエストしている他のクライアントがファイルを利用できるようになります。NFSv3 では、ロック中にクライアントを削除すると、新しい GKE ノードなどの別のクライアントによってファイルがアクセスできなくなります。

  • ステートフル復元をサポートします。

    • NFSv3 とは異なり、NFSv4.1 は TCP ベースの接続ベースのステートフル プロトコルです。復元後、前のセッションのクライアントとサーバーの状態を再開できます。

Managed Service for Microsoft Active Directory

Managed Service for Microsoft Active Directory(Managed Microsoft AD)は厳格な要件ではありませんが、LDAP と Kerberos (両方が Filestore NFSv4.1 プロトコルの要件)の両方をサポートする唯一の Google Cloudマネージド ソリューションです。

管理者は、Managed Service for Microsoft Active Directory(マネージド Microsoft AD)を使用して LDAP と Kerberos を実装し、管理することを強くおすすめします。

Google Cloudマネージド ソリューションとして、Managed Microsoft AD には次の便益を提供します。

  • マルチリージョン デプロイを提供し、同じドメインで最大 5 つのリージョンをサポートします。

    • ユーザーとそれぞれのログイン サーバーをより近接させることで、レイテンシを短縮します。

  • NFSv4.1 実装の要件の POSIX RFC 2307RFC 2307bis をサポートします。

  • 一意識別子(UID)とグローバル一意識別子(GUID)のユーザー マッピングを自動化します。

  • ユーザーとグループは、マネージド Microsoft AD で作成するか、マネージド Microsoft AD に移行できます。

  • 管理者は、現在のオンプレミスの、セルフマネージド Active Directory(AD)と LDAP ドメインで、ドメインの信頼を作成できます。このオプションでは、移行は必要ありません。

  • SLA を提供します。

アクセス制御と追加の動作

  • Filestore NFSv4.1 ACE は、Linux で次のコマンドを使用して管理されます。

    • nfs4_setfacl: ファイルまたはディレクトリの ACE を作成または編集します。
    • nfs4_getfacl: ファイルまたはディレクトリの ACE を一覧表示します。

  • 各 ACL は最大 50 個の ACE をサポートします。6 つのエントリは、クライアント chmod オペレーションによって作成された自動生成 ACE 用に予約されています。これらの ACE は、作成後に変更できます。

    モードビットを表す自動生成 ACE レコードは、次の優先順位で一覧表示されます。

    • OWNER@ に対して DENY and ALLOW ACEs
    • GROUP@ に対して DENY and ALLOW ACEs

    • DENY and ALLOW ACEsEVERYONE@

      このような ACE がすでに存在する場合は、再利用され、新しく適用されたモードビットに従って変更されます。

  • Filestore NFSv4.1 は、POSIX モード RWX(読み取り、書き込み、実行)でのみ必要なアクセス権の確認をサポートしています。コンテンツまたは SETATTR 仕様を変更する write append オペレーションと write オペレーションは区別されません。nfs4_setfacl ユーティリティでは、ショートカットとして RWX も受け入れ、適切なフラグをすべて自動的にオンにします。

  • nfs4_getfacl は、プリンシパルの変換を単独で行うことはありません。nfs4_getfacl ユーティリティは、プリンシパルの数値 UIDGUID を表示します。その結果、OWNER@GROUP@EVERYONE@ の特別なプリンシパルが表示されます。

  • Managed Microsoft AD を使用しているかどうかにかかわらず、AUTH-SYSnfs4_setfacl ユーティリティを使用する場合は、ユーザー名ではなく、数値の UIDGUID を指定する必要があります。このユーティリティでは、名前をこれらの値に変換できません。正しく指定されていない場合、Filestore インスタンスはデフォルトで nobody ID になります。

  • ファイル、または継承された ACE の影響を受けるファイルに書き込み権限を指定する場合、ACE には w(書き込み)フラグと a(追加)フラグの両方を含める必要があります。

  • SETATTR の権限を確認すると、返されるレスポンスは次のように POSIX と似ています。

    • スーパーユーザーまたは ROOT ユーザーは、あらゆる操作を行うことができます。
    • ファイル所有者のみが、モードビット、ACL、タイムスタンプを特定の時刻とグループ(所属する GUID のいずれかなど)に設定できます。
    • ファイル オーナー以外のユーザーは、ACL などの属性を表示できます。

  • 1 つの ACE には、有効な権限と継承専用の権限の両方が含まれます。他の NFSv4.1 実装とは異なり、Filestore は有効な ACE と継承専用 ACE を区別するために、継承された ACE を自動的に複製することはありません。

NFSv4.1 の制限事項

NFSv4.1 の制限事項のリストを次に示します。

  • NFSv4.1 プロトコルを GKE 向け Filestore マルチシェアと組み合わせることはできません。

  • NFSv4.1 プロトコルは AUDIT and ALARM ACEs をサポートしていません。Filestore は、データアクセスの監査をサポートしていません。

  • 構成したら、Managed Microsoft AD とネットワーク ピアリングを削除しないでください。そうすると、クライアントにマウントされているときに Filestore 共有にアクセスできなくなり、データにアクセス不能になります。 Google Cloud は、管理者またはユーザーの操作によって引き起こされた停止に対して責任を負いません。

  • 認証済みの Kerberos セキュリティ設定を使用すると、オペレーションのレイテンシが発生する可能性があります。レイテンシ率は、指定したサービス階層とセキュリティ設定によって異なります。セキュリティ レベルが上がるごとに、レイテンシが増加します。

  • データアクセスの監査はサポートされていません。

  • Filestore NFSv4.1 ソリューションは、LDAPKerberos を使用して実装される RPCSEC_GSS 認証を使用します。どちらも Managed Microsoft AD で利用できます。Filestore NFSv4.1 は、NFSv3 と同様に、認証メカニズムなしで使用することもできます。その他の認証メカニズムはサポートされていません。

  • Filestore インスタンスを共有 VPC を通じて Managed Microsoft AD に参加させる場合は、gcloud または Filestore API を使用する必要があります。Google Cloud コンソールを使用して、インスタンスを Managed Microsoft AD に参加させることはできません。

  • Managed Microsoft AD のドメイン名は 56 文字以内で指定する必要があります。

  • エンタープライズ インスタンスを作成するには、Filestore API を使用してオペレーションを直接実行する必要があります。詳細については、サービスティアをご覧ください。

  • バックアップを復元する場合、新しいインスタンスはソース インスタンスと同じプロトコルを使用する必要があります。

次のステップ