Dualprotokoll/Multiprotokoll
Google Cloud NetApp Volumes bietet die Möglichkeit, dieselben Datensätze sowohl für SMB- als auch für NFS-Clients freizugeben und dabei die entsprechenden Zugriffsberechtigungen beizubehalten.("Dual-Protokoll" ). Dies geschieht durch die Koordinierung der Identitätszuordnung zwischen Protokollen und die Verwendung eines zentralen Backend-LDAP-Servers, um die UNIX-Identitäten für Google Cloud NetApp Volumes bereitzustellen. Sie können Windows Active Directory verwenden, um sowohl Windows- als auch UNIX-Benutzern eine einfache Verwendung zu ermöglichen.
Zugriffskontrolle
-
Zugriffskontrollen teilen. Bestimmen Sie, welche Clients und/oder Benutzer und Gruppen auf eine NAS-Freigabe zugreifen können. Bei NFS steuern Exportrichtlinien und -regeln den Clientzugriff auf Exporte. NFS-Exporte werden von der Google Cloud NetApp Volumes Instanz verwaltet. SMB nutzt CIFS/SMB-Freigaben und Freigabe-ACLs, um eine detailliertere Kontrolle auf Benutzer- und Gruppenebene zu ermöglichen. Sie können ACLs auf Freigabeebene von SMB-Clients nur konfigurieren, indem Sie MMC/Computerverwaltung mit einem Konto verwenden, das über Administratorrechte für die Google Cloud NetApp Volumes Instanz verfügt (siehe Abschnitt link:gcp-gcnv-smb.html#Konten mit lokalen/INTEGRIERTEN Administrator-/Sicherungsrechten["Konten mit lokalen/INTEGRIERTEN Administrator-/Sicherungsrechten."]).
-
Dateizugriffskontrollen. Steuern Sie Berechtigungen auf Datei- oder Ordnerebene und verwalten Sie diese immer vom NAS-Client aus. NFS-Clients können traditionelle Modusbits (rwx) oder NFSv4-ACLs verwenden. SMB-Clients nutzen NTFS-Berechtigungen.
Die Zugriffskontrolle für Volumes, die Daten sowohl an NFS als auch an SMB bereitstellen, hängt vom verwendeten Protokoll ab. Informationen zu Berechtigungen mit Dual-Protokoll finden Sie im Abschnitt "Berechtigungsmodell ."
Benutzerzuordnung
Wenn ein Client auf ein Volume zugreift, versucht Google Cloud NetApp Volumes, den eingehenden Benutzer einem gültigen Benutzer in die entgegengesetzte Richtung zuzuordnen. Dies ist notwendig, damit der ordnungsgemäße Zugriff über alle Protokolle hinweg sichergestellt werden kann und um sicherzustellen, dass der Benutzer, der den Zugriff anfordert, tatsächlich derjenige ist, für den er sich ausgibt.
Wenn beispielsweise ein Windows-Benutzer mit dem Namen joe
versucht, über SMB auf ein Volume mit UNIX-Berechtigungen zuzugreifen, dann führt Google Cloud NetApp Volumes eine Suche durch, um einen entsprechenden UNIX-Benutzer mit dem Namen zu finden joe
. Falls vorhanden, werden Dateien, die als Windows-Benutzer in eine SMB-Freigabe geschrieben werden, joe
erscheint als UNIX-Benutzer joe
von NFS-Clients.
Alternativ, wenn ein UNIX-Benutzer mit dem Namen joe
versucht, mit Windows-Berechtigungen auf ein Google Cloud NetApp Volumes -Volume zuzugreifen, muss der UNIX-Benutzer einem gültigen Windows-Benutzer zugeordnet werden können. Andernfalls wird der Zugriff auf das Volume verweigert.
Derzeit wird für die externe UNIX-Identitätsverwaltung mit LDAP nur Active Directory unterstützt. Weitere Informationen zum Konfigurieren des Zugriffs auf diesen Dienst finden Sie unter "Erstellen einer AD-Verbindung" .
Berechtigungsmodell
Bei der Verwendung von Dual-Protokoll-Setups verwendet Google Cloud NetApp Volumes Sicherheitsstile für Volumes, um den ACL-Typ zu bestimmen. Diese Sicherheitsstile werden basierend auf dem angegebenen NAS-Protokoll festgelegt. Im Fall eines dualen Protokolls wird die Auswahl zum Zeitpunkt der Erstellung des Google Cloud NetApp Volumes -Volumes getroffen.
-
Wenn Sie nur NFS verwenden, verwenden Google Cloud NetApp Volumes -Volumes UNIX-Berechtigungen.
-
Wenn Sie nur SMB verwenden, verwenden Google Cloud NetApp Volumes -Volumes NTFS-Berechtigungen.
Wenn Sie ein Dualprotokoll-Volume erstellen, können Sie den ACL-Stil bei der Volume-Erstellung auswählen. Diese Entscheidung sollte auf Basis der gewünschten Berechtigungsverwaltung getroffen werden. Wenn Ihre Benutzer Berechtigungen von Windows-/SMB-Clients verwalten, wählen Sie NTFS. Wenn Ihre Benutzer die Verwendung von NFS-Clients und chmod/chown bevorzugen, verwenden Sie UNIX-Sicherheitsstile.